DNS 増幅攻撃は、公的にアクセス可能な DNS サーバーを悪用する分散型サービス妨害攻撃 (DDoS) 攻撃の一種です。 攻撃者は、DNSレスポンスが対応するリクエストよりも大きいという事実を利用して、攻撃の影響を増幅し、意図したターゲットにより多くのデータを送信します。
DNS増幅攻撃は、IPスプーフィングを使用して、攻撃者が送信するよりも多くのデータをターゲットに送信することで機能します。 悪意のある攻撃者は、DNSサーバーなどの正当なサービスにリクエストを行い、IPアドレスを被害者のIPアドレスに偽装します。
サービスは、このアドレスに応答を送信します。 増幅攻撃は、対応するリクエストよりもレスポンスが大きいプロトコルを使用するため、攻撃者は、ボリューム攻撃で使用するよりも多くのターゲットの帯域幅を消費する可能性があります。
DNS増幅攻撃は、オープンDNSリゾルバーを利用してDDoS攻撃の有効性を向上させます。 DNSは、次のようないくつかの理由で増幅攻撃の一般的な選択肢です。
| 因子 | 説明 | 攻撃者にとっての利点 |
| UDPの使用法 | DNSはUDPを使用することがよくありますが、UDPにはハンドシェイクの検証がありません。 | 攻撃者にとってより簡単なIPスプーフィング。 |
| トラステッド・プロトコル | DNS は基本的なインターネット プロトコルであり、多くの場合ファイアウォールを介して許可されます。 | プロトコルの種類に基づいてファイアウォール フィルタリングをバイパスします。 |
| より大きな回答 | DNS 応答には、要求サイズを超えるすべての要求されたデータが含まれます。 | ターゲットに送信されるデータ量を増幅します。 |
| 設定可能な応答 | 攻撃者は、さらに増幅するために大量のDNSレコードを作成することができます。 | 攻撃の影響を最大化します。 |
| 正当なリクエスト | 攻撃は正当なドメインを利用する可能性があるため、ドメイン名に基づくフィルタリングは効果がありません。 | 本物のトラフィックと区別するのが難しい。 |
DNS増幅攻撃は、ボリューム型DDoS攻撃の一例です。 これらの攻撃の目的は、ネットワーク帯域幅やその他の希少なリソース (計算能力など) をすべて消費するほどの大量のスパム トラフィックをターゲットに送りつけることです。
DNSを増幅に使用することで、攻撃者は攻撃によって消費されるリソースの一部を使用しながら、ターゲットを圧倒することができます。 多くの場合、 DDoS攻撃 は、ターゲットサービスをオフラインにするように設計されています。 攻撃者が利用可能なリソースをすべて使用すると、正当なユーザーが利用できるリソースはなく、サービスが使用できなくなります。
しかし、小規模な攻撃は、ターゲットに悪影響を与えることもあります。
サービスが完全にオフラインになっていない場合でも、パフォーマンスの低下は顧客に悪影響を与える可能性があります。 さらに、攻撃によって消費されたすべてのリソースは、ビジネスに利益をもたらさず、ターゲットにお金がかかります。
これらのDNS攻撃に対する緩和戦略は次のとおりです。
これらの対策は、これらのタイプの攻撃のターゲットを保護するように設計されています。
全体的な脅威は、DNSリゾルバーへのアクセスを制御して、これらの攻撃でDNSリゾルバーが使用されるのを防ぐことでも管理できます。
DNSによって提供される増幅効果を利用することにより、攻撃者は直接攻撃するよりもはるかに大規模な攻撃を仕掛けることができます。 しかし、DNSは利用可能な唯一のDDoS増幅オプションではなく、増幅率が最大であるものでもありません。
DNS増幅やその他のDDoS攻撃から保護するには、攻撃トラフィックと正当なトラフィックがターゲットサーバーに到達する前にフィルタリングできるDDoS軽減ソリューションが必要です。
チェック・ポイントQuantum DDoSプロテクトは、最大 800 GbE の DDoS 攻撃をリアルタイムで検出および防御し、DDoS 脅威に対する堅牢な保護を提供します。 Quantum DDoSProtective とその機能の詳細については、このデータシートをご覧ください。
フィードバック