HOME»情報処理安全確保支援士掲示板»DNSサーバへの脅威と対策について
投稿する
こちらは記憶がないのでわかる方がいましたらお願いします。
公開されている過去問を流し読みされるのが早い気がします。
関連する区分としては,SCとNWが有力ではないかと思います。
★DoS/DDoS攻撃
権威サーバに対して大量の要求を送信して機能不能とする攻撃です。
攻撃手法としては有名なので詳細は省略します。
★ゾーン転送
権威サーバも他のサーバ同様に障害対応や負荷分散を目的に冗長構成とするのが一般的でプライマリDNSサーバ(P-DNS)と(単数または複数の)セカンダリDNSサーバ(S-DNS)で構成されています。
P-DNSのレコードが更新された場合には,S-DNSと同期をとるために「ゾーン転送」という仕組みでデータのやり取りが行われますが,S-DNSになりすますことでP-DNSのレコード情報を搾取する攻撃があります。
また,搾取した情報を元にS-DNSに対して改ざんしたゾーン情報を転送される可能性もあります。
対応策としては,以下の点となります。
・ゾーン転送を行うサーバのIPアドレスを限定する(なりすまし防止)
・ゾーン転送時のデータを暗号化する(改ざん防止)
»[0532] 平成29年秋 午後2 問2 設問1 投稿数:2
»[0531] 平成27年度春期午後Ⅱ 問2 設問4に関する質問 投稿数:7
DNSサーバへの脅威と対策について [0534]
あまえびさん(No.1)
SCの試験において、DNSサーバへの脅威として、キャッシュサーバに偽の応答を仕込むケースが多く見受けられますが、権威サーバ(コンテンツサーバ、ネームサーバ)に対する脅威や対策が題材となった、または関連したSCまたは他の情報処理試験問題はありますでしょうか。
ただ、上記にお答え頂くのは難しいかと思いますので、権威サーバ(コンテンツサーバ、ネームサーバ)に対する脅威や対策の一例を伺えるだけでもありがたいです。
よろしくお願いいたします。
ただ、上記にお答え頂くのは難しいかと思いますので、権威サーバ(コンテンツサーバ、ネームサーバ)に対する脅威や対策の一例を伺えるだけでもありがたいです。
よろしくお願いいたします。
2020.09.22 12:57
わっつさん(No.2)
> 関連したSCまたは他の情報処理試験問題はありますでしょうか。
こちらは記憶がないのでわかる方がいましたらお願いします。
公開されている過去問を流し読みされるのが早い気がします。
関連する区分としては,SCとNWが有力ではないかと思います。
> 権威サーバ(コンテンツサーバ、ネームサーバ)に対する脅威や対策の一例
★DoS/DDoS攻撃
権威サーバに対して大量の要求を送信して機能不能とする攻撃です。
攻撃手法としては有名なので詳細は省略します。
★ゾーン転送
権威サーバも他のサーバ同様に障害対応や負荷分散を目的に冗長構成とするのが一般的でプライマリDNSサーバ(P-DNS)と(単数または複数の)セカンダリDNSサーバ(S-DNS)で構成されています。
P-DNSのレコードが更新された場合には,S-DNSと同期をとるために「ゾーン転送」という仕組みでデータのやり取りが行われますが,S-DNSになりすますことでP-DNSのレコード情報を搾取する攻撃があります。
また,搾取した情報を元にS-DNSに対して改ざんしたゾーン情報を転送される可能性もあります。
対応策としては,以下の点となります。
・ゾーン転送を行うサーバのIPアドレスを限定する(なりすまし防止)
・ゾーン転送時のデータを暗号化する(改ざん防止)
2020.09.25 18:38
あまえびさん(No.3)
わっつさん
遅くなり申し訳ありませんが、ご回答ありがとうございました。
遅くなり申し訳ありませんが、ご回答ありがとうございました。
2020.09.29 23:21
しんさん(No.4)
試験の備え、今日覚えた知識(情報)です。
攻撃名称 権威DNSサーバへの水責め(サブドメイン)攻撃
構成 ボットネットワーク群 ⇒ 踏み台キャッシュDNSサーバ群 ⇒ 標的の権威DNSサーバ
(オープンリゾルバの脆弱性あり)
攻撃方法
①PCのボットネットワーク化
②ボットネットワークへの攻撃指令
③ボットはIPアドレスをランダムに詐称して、踏み台キャッシュDNSサーバに、
標的の異なるサブドメインを生成しながら、多量の再帰問合せを送る。
④踏み台キャッシュDNSサーバは、サブドメインの親である標的の権威DNSサーバに問い合わせを送る。
攻撃名称 権威DNSサーバへの水責め(サブドメイン)攻撃
構成 ボットネットワーク群 ⇒ 踏み台キャッシュDNSサーバ群 ⇒ 標的の権威DNSサーバ
(オープンリゾルバの脆弱性あり)
攻撃方法
①PCのボットネットワーク化
②ボットネットワークへの攻撃指令
③ボットはIPアドレスをランダムに詐称して、踏み台キャッシュDNSサーバに、
標的の異なるサブドメインを生成しながら、多量の再帰問合せを送る。
④踏み台キャッシュDNSサーバは、サブドメインの親である標的の権威DNSサーバに問い合わせを送る。
2020.09.30 10:16
okomeさん(No.5)
午前でよければ、
29年春午前2問6。
偶然発見したので...
たしかネットワークのほうにセカンダリDNSとプライマリDNS間のゾーン転送にかかわる問題が出ていたと思います。(解いたのは1年前のためどの問題か覚えていませんが...)
29年春午前2問6。
偶然発見したので...
たしかネットワークのほうにセカンダリDNSとプライマリDNS間のゾーン転送にかかわる問題が出ていたと思います。(解いたのは1年前のためどの問題か覚えていませんが...)
2020.09.30 12:03
その他のスレッド
»[0533] いよいよ本試験まで、1か月きりました。 投稿数:1»[0532] 平成29年秋 午後2 問2 設問1 投稿数:2
»[0531] 平成27年度春期午後Ⅱ 問2 設問4に関する質問 投稿数:7