DNS介したDDoS攻撃はデータを40倍に増幅――警察庁が検証

警察庁がDNSの再帰検索を悪用したDDoS攻撃を検証したところ、元のデータの約40倍ものデータが攻撃対象に送りつけられることが分かった。

[ITmedia]

　警察庁は7月11日、DNSの再帰的な問い合わせを悪用したDDoS攻撃についてまとめたレポートを公開した。

　この攻撃では、キャッシュサーバとして運用されているDNSサーバの設定の不備を突き、踏み台化することによって、被害者に大量のデータを送りつける。送信元IPアドレスを詐称した再帰的問い合わせ（再起検索）を複数のDNSサーバに送りつけることにより、攻撃対象に問い合わせの数十倍の応答データを送信させ、対象のシステムを過負荷状態に陥れる。DNSサーバは、「マイクにしゃべった声を増幅させるアンプのような役割を果たす」（警察庁）ことになる。

　2006年3月に発生した攻撃では、日本国内のDNSサーバも踏み台に悪用されていることが指摘され、JPCERT/CCなどから注意喚起が行われた（関連記事）。

　警察庁では実際に試験環境を構築し、DNSの再帰的な問い合わせを悪用したDDoS攻撃について検証を行った。この結果、1台の踏み台DNSサーバを経由して、攻撃者の送信データの約40倍のデータを送りつけ、攻撃対象を通信が困難な状態に陥れることが可能であることが判明したという。

　注意が必要なのは、この攻撃においては踏み台DNSサーバに侵入する必要はないことだ。また、多数のDNSサーバが踏み台に悪用された場合、DNSサーバ1台当たりに対する再帰的問い合わせの頻度は低くなることから、管理者がその事実に気づかない恐れもあるという。

　警察庁はこの結果を踏まえ、DNSサーバやネットワークの管理者に適切な設定を行うよう呼びかけている。1つは、キャッシュサーバとして利用しているDNSサーバで、再帰的な問い合わせを受け付ける範囲を制限すること。もう1つは、ファイアウォールやルータなどで、送信元IPアドレスを詐称したパケットをフィルタリングするよう設定することだ。

　「被害を受けている側での対策が困難であることから、インターネットに接続している各DNSサーバやネットワークの管理者が適切に設定を行うことで攻撃の発生を未然に防止することが重要」（警察庁）