DNSリフレクティブ攻撃は、インターネットパイプを破壊する多くの分散サービス妨害（DDoS）攻撃で使用されます。 この攻撃は、2 段階の攻撃で、攻撃者は、ターゲットとなる被害者の偽装されたソース IP を使用しながら、1 つ以上の正規 DNS サーバーに大量のリクエストを送信します。 半合法的なリクエストを受信した DNS サーバーは、偽装された IP に返信することにより、被害者が送ったことのないリクエストへの応答で、知らず知らずのうちに標的の被害者への攻撃を開始します。

インターネットには、送られたあらゆるリクエストに応えるオープン リゾルバーとして提供される DNS サーバーが多数あり、その数として数百万というレポートもありました。 この膨大な数により、IPレピュテーションを使用して攻撃を事前に特定することは非常に困難です。 さらに、サーバーは実際には、通常、正当なトラフィックを送信する正当なサーバーであり、IP レピュテーション サービスは、その性質が悪質であるかどうかに関して混乱します。

Most DNS queries are sent using UDP, a protocol that does not enable source IP validation.このプロトコルは、ソース IP 検証ができない。 このため、仲介 DNS サーバーは、リクエストが被害者から届いていると仮定し、返信を被害者に送り返すのです。 このIPスプーフィングにより、被害者サーバーは、あたかも正規のDNSサーバーから攻撃を受けているように見え、攻撃者IPは完全に隠蔽されるため、攻撃者の発見が極めて困難になります。 また、IPスプーフィングにより、IPレピュテーションサービスが無効になり、適切に記述されていない場合、正当なDNSサーバーに悪いレピュテーションが割り当てられてしまう可能性があります。 また、攻撃元を特定しようとするセキュリティの期待に応えることもできません。

スプーフィングにおけるもうひとつの利点は、どんなサーバーやサービスにも攻撃できる能力を持っている点です。 攻撃者は、被害者の公開サーバーの IP とポートを使用して、DNS サービスだけでなく、あらゆるサービスに攻撃が送信されるようにすることができます。 トラフィックは単に多くのデータのように見え、サーバーはデータを解析して調べ、正当なトラフィックでないことを確認する必要があります。

IP スプーフィングもこの攻撃の制限であることに注意してください。IP スプーフィングが不可能な場合、犠牲者の IP に応答を向ける方法がないため攻撃を開始することができなくなります。 NATを行うルーターの背後にあるIoT機器上で動作するMiraiボットがこれにあたります。 しかし、最近のMiraiの感染戦術は、家庭用ルーター自体を狙っているため、NATの制限を回避できます。

反射型DNSフラッドの破壊的可能性に寄与する最新かつ最大の利点は増幅で、DNS拡張（RFC 2671で定義されたEDNS0）とDNSSecを使って実現できます。 EDNS0によりDNS応答が元の512許可より大きくなり、DNSSecによりキャッシュポイズニング防止のための応答の認証が可能になっています。 DNSSecはレスポンスに暗号データを付加するため、EDNS0が動作する必要がある。 DNSSec は、セキュリティを意識した今日のインターネットにおいて普及しているため、より多くの DNS サーバーが EDNS0 をサポートするようになり、攻撃者がリクエストに対して大きなレスポンスを実現できるようになります。

レスポンスのサイズは最大 4096 バイトで、攻撃者は少数の短いリクエストを送信できる一方で、DNS サーバーの送信するレスポンスは大幅に増幅され、犠牲者のインターネットパイプを使い果たすことができます。 攻撃者はDNSサーバーを研究し、どの正当なクエリーが大きな返信になるかを見つけ、さらにDNSSecを使って暗号データでさらに大きな返信にすることができます。 多くの場合、応答は最大 4096 バイトになり、元の要求に対して 100 倍の増幅率が得られます。

今日の大規模なインターネット接続では、インターネットへの 100 M の接続は、それ自体で控えめな攻撃を送信しても、通常のサイトにはある程度の損害を与えることができます。 しかし、攻撃者がこの巨大な 4096 バイトの応答を 44 バイトのリクエストに使用して 100 倍の増幅を得る能力がある場合、被害者のサーバーは通常のトラフィック帯域幅を超える 10G の攻撃トラフィックを受け取ることになります。 このようなトラフィックは、正常なサービスを即座に停止させる原因となる。 このようなボットが数台でも存在するボットネットで何ができるか想像してみてください。

応答のサイズに加え、このような応答は通常の IP パケットに収まらないという事実があります。 このような場合、サーバーは IP-fragmentation オプションを使用し、メッセージを複数のパケットに分割することができます。 ミティゲーターは、最初のパケットのレイヤー4データ（UDPポート）をテーブルに格納し、同じメッセージの残りのパケットに適用する必要があります。 多くのネットワーク エンティティは、多くの断片化されたトラフィックによって高速に消耗するため、この攻撃はさらに効率的です。

Radware の YouTube DNS 増幅攻撃ビデオは、反射型 DNS 攻撃の構造とフローを図解しています。

DNS 反射型攻撃のすべての内部と外部を学んだ後、1 つ残っているのは、この攻撃から組織を保護しそれを軽減するには、どうすればよいかです。 DNS 反射攻撃を緩和するためには、攻撃をすばやく検出し、ダウンタイムを防ぐための優れた検出器を現場に設置する必要があります。 検知器は、検知した攻撃がインターネット接続を飽和させ、クラウドスクラビングセンターにトラフィックを転送する必要があることを理解するのに十分な賢さを備えている必要があります。 スクラビング自体は、合法的と考えられる類似のトラフィックの量に依存します。 DNS トラフィックは？ 断片化されたトラフィック？ そして、もしそうなら、何が攻撃トラフィックと区別するのでしょうか? 自動化されたテクニックを使用して、正当なトラフィックと攻撃トラフィックを分離することで、クラウドのミティゲーションを迅速かつ適切に行い、安心感も得られます。 DNS と DNS 攻撃

「保護されていない API の安全な環境を構築する」を読んで、詳細を確認してください。

今すぐダウンロード