DNSのクイック入門
ここでは、ドメインネームサービス(DNS)の仕組みを簡略化して説明します。
- DNSクエリ: ブラウザにWebサイトのアドレスを入力すると、コンピューターは再帰リゾルバと呼ばれる近くのサーバーにリクエスト(DNSクエリ)を送信します。 この正当なクエリは、基本的に「このWebサイト名のIPアドレスは何ですか?」と尋ねます。
- 検索: 再帰リゾルバーは、交換機オペレーターのように動作し、 権限のあるネームサーバーに接続します。 これらは、特定のドメイン名の最も信頼できるデータ(IPアドレス)を保持する特殊なサーバーです。
- DNSレスポンス: 権威サーバーは、IP アドレスを見つけると、応答を再帰リゾルバに送り返します。
- 答え: その後、再帰的リゾルバーは、この情報 (IP アドレス) をコンピューターに中継します。
- 接続が確立されました: これで、コンピューターに必要なアドレスが取得され、Webサイトに直接接続できます。
DNSフラッド攻撃の仕組みは?
DNSフラッド攻撃は、大量の偽のWebサイトアドレスリクエストでDNSサーバーを圧倒することで機能します。
- 通常の操作: Web サイトにアクセスしようとすると、コンピューターは DNS サーバーに接続します。 DNSサーバーは電話帳のように機能し、ドメイン名をコンピューターが理解できる数値アドレス(送信元IPアドレス)に変換します。
- 攻撃が始まります。 ハッカーは、存在しないまたは無効なWebサイトアドレスに対する大量のリクエストでDNSサーバーを攻撃します。
- システムの過負荷: DNSサーバーは、すべてのDNSリクエストに応答しようとして圧倒されます。 これは、間違った電話番号が殺到し、探している実際の番号を見つけるのが難しくなるようなものです。
- インパクト: サーバーはジャンクの処理でビジー状態であるため、実際のWebサイトアドレスに対する正当なリクエストに応答できません。 これにより、Webサイトが停止したり、読み込み時間が遅くなったりします。
DNS フラッド攻撃はさまざまな方法で実行されますが、最も一般的な脅威の 1 つはモノのインターネット (IoT) ボットネットです。 これらの侵害されたIoTデバイスのコレクションは、DNS リゾルバーに大量のトラフィックを送信するために使用され、適切な DDoS 対策がない場合には DNS リゾルバーをオフラインにすることができます。
DNSフラッド攻撃の影響
DNSフラッド攻撃の最も一般的な影響は次のとおりです。
| Impact |
説明 |
| ウェブサイトの停止 |
対象のDNSサーバーによって提供されるWebサイトにアクセスできなくなります。 ユーザーには、エラーメッセージや空白のページが表示されます。 |
| 読み込み時間が遅い |
偽のリクエストが殺到すると、サーバーが圧倒され、正当なリクエストの処理が遅れ、Webサイトの読み込みが遅くなります。 |
| オンラインサービスの中断 |
標的のDNSサーバーに依存するオンラインサービス(電子メール、オンラインバンキング)を中断します。 |
| 生産性と収益の損失 |
Webサイトの停止や読み込み時間の遅さは、企業の生産性と収益の損失につながる可能性があります。 |
| 風評被害 |
攻撃は企業の評判を損ない、顧客の信頼と信用に影響を与える可能性があります。 |
DNS は、現代のネットワーク インフラストラクチャにおける潜在的な単一障害点です。
組織がドメイン名の解決を1つまたは少数のDNSサーバーに依存している場合、これらのサーバーをダウンさせるDNSフラッドにより、ユーザーはWebサイトにアクセスできなくなり、潜在的な経済的損失につながる可能性があります。 この種の攻撃の最も有名な例は、 2016 年の Dyn に対する攻撃で、Netflix、PayPal、Twitter などの主要なサイトで障害が発生しました。
DNSフラッド攻撃の軽減
DNSフラッド攻撃は、スパムで公開されている必要があるサーバーだけでなく、正当なトラフィックも含まれている可能性があるため、防御が困難です。 これらの攻撃の実行を困難にしたり、その有効性を制限したりする方法には、次のようなものがあります。
- リソースの過剰プロビジョニング:通常、DNS フラッド攻撃は、ネットワーク帯域幅または DNS サーバーの計算能力を消費するように設計されています。 ネットワーク帯域幅とサーバーを過剰に拡張しても攻撃を防ぐことはできませんが、攻撃者が目的を達成するために生成して維持する必要があるトラフィックの量が増加します。
- エニーキャストDNS: エニーキャストネットワークは、特定のIPアドレスを使用して、複数のコンピュータのうち最も近いコンピュータにトラフィックを送信します。 エニーキャスト ネットワーキングを使用する DNS サーバーのグローバル分散ネットワークでは、攻撃者が組織の DNS インフラストラクチャ全体を圧倒するのに必要なトラフィック量を生成することがはるかに困難になります。
- DNS キャッシュ: DNS キャッシュは、分散サーバーのネットワーク上によくアクセスされる DNS レコードのコピーを保存します。 DNS 要求がキャッシュにヒットした場合、その要求は DNS 配信元サーバーに転送されないため、そのサーバーの負荷が軽減されます。
- レート制限: DNSフラッド攻撃は、悪意のあるトラフィックでDNSサーバーを圧倒しようとします。 レート制限を実装すると、特定の IP アドレスがサーバーに送信できるトラフィックの量が減り、DNS フラッド攻撃の影響が軽減される可能性があります。
- 地理的なブロッキング: IoTボットネットは一般的に分散しているため、攻撃トラフィックは特定の地域全体または世界中から来る可能性があります。 サービスのユーザーが特定の地域にいる場合、その地域の外部からのトラフィックをブロックすると、攻撃トラフィックの量が減少する可能性があります。
DNSフラッド攻撃に対する最善の保護は、DDoS軽減ソリューションの導入です。 これらのサービスは、DNSフラッドトラフィックを特定してフィルタリングし、DNSサーバーが圧倒されるのを防ぎながら、正当なユーザーにサービスを提供できるようにします。
チェック・ポイントでDNSフラッド攻撃を軽減する方法
DNSインフラストラクチャの保護は、インターネットが適切に機能するために不可欠です。 DNSフラッド攻撃は、処理しきれないほどのトラフィックでDNSサーバーを圧倒する能力があるため、これらのシステムに重大なリスクをもたらします。
また、これらの攻撃を軽減するように設計されたほとんどのソリューションは、その有効性を低下させるだけで、完全にブロックするわけではありません。 DNSフラッドや同様の攻撃から保護する最善の方法は、DDoS軽減ソリューションを使用することです。
チェック・ポイントQuantum DDoS保護は、機械学習とAIを活用して、最大800 GbEまでのDDoS攻撃をリアルタイムで検出および防御し、最大規模の攻撃に対しても堅牢な保護を提供します。 このデータシート Quantumで、 DDoSProtect の機能と、DNS フラッドやその他の DDoS 攻撃に対する組織の露出をどのように軽減できるかについて詳しく学んでください。
フィードバック