DNSサーバ攻撃方法
- ゾーン転送要求による登録情報の収集
- DNSキャッシュポイゾニング攻撃
- 不正リクエストによるサービス停止攻撃
- 解決
■ゾーン転送要求による登録情報の収集
DNSサーバをプライマリ・セカンダリ構成で運用する場合、双方のサーバの登録情報を同期させるゾーン転送が行われる。
DNSサーバに対する名前解決要求は53/UDPで行われるが、ゾーン転送要求は53/TCPで行われる。
DNSサーバにゾーン転送制限をしていないと、すべてのホストからnslookupコマンドで容易にゾーン情報が閲覧でき、ネットワーク構成やサーバ構成が漏洩する。
・マスター・サーバ側で、あらかじめ指定されたスレーブ・サーバ以外からはゾーン転送を受け付けないようにする
■DNSキャッシュポイゾニング攻撃
DNSサーバからの名前解決要求に対して、正当な応答に加えて不正な名前解決情報も付加することで要求のあったDNSサーバに不正な名前解決情報をキャッシュさせる攻撃。
(簡単な原理と参考:http://jpinfo.jp/topics/080808.html)
■不正リクエストによるサービス停止攻撃
DNSサーバの仕様上の脆弱性や実装上の脆弱性をついて不正な要求を与えることによりサービスを不能状態にする攻撃。
【解決】
・DNSサーバのソフトウェアのバージョンを最新にする。
・ゾーン転送をセカンダリサーバのみに限定する。
・ログ解析を実施する
・IDS(IntrusionDetectionSystem)やIPS(IntrusionPreventionSystem)を用いる