DNSを標的とする攻撃 笹川 尋翔

DNS(Domain Name System) • ドメインとIPアドレスを結びつける仕組み • 名前解決(Name Resolution)を提供 • ⽊構造によりドメインをラベルごとに階層的に管理 • 分散システムを実現

example.comの名前解決

DNSの構成 • DNSはいくつかのソフトウェアで構成 • 権威DNSサーバ • キャッシュDNSサーバ(フルサービスリゾルバ) • スタブリゾルバ

権威DNSサーバ • あるドメイン名に関する完全な情報を持つDNSサーバ • ドメイン名とIPアドレスを関連付けるデータベースを管理 • ドメイン名の問い合わせに対して委任先のドメイン名や IPアドレスを返す

キャッシュDNSサーバ(フルサービスリゾルバ) • スタブリゾルバからの問い合わせを受け付ける • 権威DNSサーバに対して反復問い合わせ(⾮再帰問い合わせ) を⾏う • 問い合わせの結果を⼀定時間(TTL: Time To Liveの時間だけ) キャッシュし、応答時間を短縮

スタブリゾルバ • キャッシュDNSサーバへ再帰問い合わせを⾏う • 問い合わせによってIPアドレスのみを得るリゾルバ • クライアントで動作する

DNSトンネリング • TXTレコードなどを悪⽤ • レコードにBase64エンコードされた⽂字列を登録 • digなどでBase64⽂字列を取得 • デコードした⽂字列に含まれるIPアドレスなどのデータを⽤いて、 C2サーバとのコネクションを確⽴

DNSリフレクター攻撃 • 送信元IPアドレスを偽装してDNSサーバに問い合わせを⾏う • 問い合わせを受け付けたDNSサーバが、攻撃対象のDNSサーバ に応答を返す • 送信元IPアドレスを偽装した⼤量のDNSクエリを実⾏すること で、攻撃対象のDNSサーバをサービス不能にする

DNSリフレクター攻撃 https://jprs.jp/glossary/index.php?ID=0156 から引⽤

DNSフラッド攻撃 • DNSサーバに対して多数のリクエストを送信 • DNSサーバをサービス不能にする • トラフィックの使⽤量が急増することが特徴 • IoT機器に感染するボットネットの普及とともに被害が拡⼤

DNSスプーフィング • ユーザを偽のサイトに誘導する⽬的でゾーン情報を書き換える • 代表的な⼿法 • DNSキャッシュポイズニング • DNSのキャッシュ機能を悪⽤ • 権威DNSサーバの返答を偽装 • 正規のDNSサーバよりも早く偽の返答をすることで攻撃

DNSキャッシュポイズニング https://jprs.jp/glossary/index.php?ID=0171 から引⽤