Internet Watch logo
記事検索
最新ニュース

警察庁、DNSを悪用したDDoS攻撃の検証結果を公表


 警察庁は11日、DNSの再帰的な問い合わせを悪用したDDoS攻撃の検証結果を同庁のセキュリティポータルサイト「@police」で公開した。検証によれば、不適切な設定のDNSサーバーを踏み台とすることで、攻撃者が送信したデータを約49倍に増幅させて相手に送りつけるDDoS攻撃が可能になるとして、DNSサーバーの管理者に対して設定を見直すよう呼びかけている。

 警察庁では、複数のマシンから大量のデータを送信することで攻撃対象を過負荷状態に陥れるDDoS攻撃手法の一種として、DNSサーバーを踏み台として悪用するDDoS攻撃の手法について検証。この手法は、攻撃者が用意した大きいサイズのレコードを踏み台となるDNSサーバーにキャッシュさせておき、そのDNSサーバーに対して送信元IPアドレスを偽装した再帰的問い合わせを行なうことで、攻撃対象となるマシンに大量のパケットを送りつけるもの。

 検証によると、攻撃者が踏み台となるDNSサーバーに対して約40バイトのパケットを送信することで、攻撃対象に最大4,906バイトのパケットが送信され、DNSサーバーが攻撃者からのパケットを増幅する“アンプ”のような役割をすることが確認されたという。この比率で計算すると、攻撃者が5Mbpsの攻撃パケットを送信することで、攻撃対象に対して245Mbpsのパケットを送りつけるDDoS攻撃が可能となる。

 警察庁では、この攻撃を受けた場合には被害者側の対策が困難であることから、DNSサーバーの管理者などに対して、攻撃の踏み台とならないよう設定を見直すことを呼びかけている。具体的には、DNSサーバーが外部からの再帰的な問い合わせを受け付けないようにすることや、ネットワーク管理者に対して送信元IPアドレスを偽装したパケットを外部に送信しないよう求めている。

 多くのDNSサーバーでは、標準設定では外部からの再帰的問い合わせを制限していない。米The Measurement Factoryが2005年10月に公表したDNSの危険性に関する調査では、75%のDNSサーバーが再帰的問い合わせに対して制限を行なっていないという結果となっている。こうしたことから、警察庁ではDNSサーバーを悪用したDDoS攻撃はいつ発生してもおかしくない状況にあるとして、DNSサーバーやネットワーク管理者が適切な設定を行なうことで、攻撃の発生を未然に防止することが重要だとしている。


関連情報

URL
  DNSの再帰的な問い合わせを悪用したDDoS攻撃手法の検証について(PDF)
  http://www.cyberpolice.go.jp/detect/pdf/20060711_DNS-DDoS.pdf
  @police
  http://www.cyberpolice.go.jp/

関連記事
75%のDNSサーバーにキャッシュ汚染の危険性〜米調査(2005/10/26)


( 三柳英樹 )
2006/07/11 14:22

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.