2019年度 午後Ⅱ

問23DNS水責め攻撃(ランダムサブドメイン攻撃)の方法はどれか。
  1. 標的のDNSキャッシュサーバに,ランダムかつ大量に生成した偽のサブドメインのDNS情報を注入する。
  2. 標的の権威DNSサーバに,ランダムかつ大量に生成した存在しないサブドメイン名を問い合わせる。
  3. 標的のサーバに,ランダムに生成したサブドメインのDNS情報を格納した,大量のDNSレスポンスを送り付ける。
  4. 標的のサーバに,ランダムに生成したサブドメインのDNS情報を格納した,データサイズが大きいDNSレスポンスを送り付ける。
解答欄
問23

答え. イ

DNS水責め攻撃(ランダムサブドメイン攻撃)とは、複数のDNSキャッシュサーバ(オープンリゾルバ)に対し、ランダムに生成したサブドメインの問合せを行うことで、攻撃対象の権威DNSサーバへの問合せを大量に行い高負荷をかける、DDoS(Distributed Denial of Service Attack)攻撃の一種である。DNSサーバの機能を悪用しており、対策が困難な手法である。
したがって、DNS水攻め攻撃の方法は「標的の権威DNSサーバに,ランダムかつ大量に生成した存在しないサブドメイン名を問い合わせる。」である。

「標的のDNSキャッシュサーバに,ランダムかつ大量に生成した偽のサブドメインのDNS情報を注入する。」はDNSキャッシュポイズニングの方法の一つであるカミンスキー型攻撃、
「標的のサーバに,ランダムに生成したサブドメインのDNS情報を格納した,大量のDNSレスポンスを送り付ける。」はDDoS攻撃の一種であるDNSフラッド攻撃(DNS Flood Attack)、
「標的のサーバに,ランダムに生成したサブドメインのDNS情報を格納した,データサイズが大きいDNSレスポンスを送り付ける。」はDDoS攻撃の一種であるDNSリフレクター攻撃(DNSアンプ攻撃)の手法である。