HOME»情報処理安全確保支援士掲示板»DNSアンプ攻撃の対策について疑問
投稿する
キャッシュサーバのIPアドレスは他所の権威サーバに知られます。それを公開というのであれば公開されています。
外部からキャッシュサーバに許可されるアクセスはDNSのリクエストに対するレスポンスだけでしょうが、どういったことが疑問ですか?
ご教示ありがとうございます。
公開の意味合いと
キャッシュサーバへのアクセスは限定されるのですね。疑問がクリアになりました。まだまだ初学者ですが、これからもご指導をお願いします。
念のため、キャッシュサーバへのアクセスが限定されるケースは適切にアクセス制御されている構成のみです。
全てのキャッシュサーバが保護されているとは限りません。
アクセス制御は多くのケースでキャッシュサーバ以外の機器で行われているはずです。
ありがとうございます。キャッシュサーバには適切なアクセス制御されていることが前提なのですね。
DNSアンプ攻撃の対策について疑問 [1591]
八王子さんさん(No.1)
https://www.sc-siken.com/s/kakomon/24_haru/am2_14.html
上記問題についてです。
そもそも私のDNSの理解が全く足りていません。
問の意味としては「公開DNSサーバ(8.8.8.8のやうなキャッシュDNSサーバ?)を建てる場合、DNSamp攻撃の踏み台として悪用されないようにするには?」という意味だと捉えました。
答えのアには「DNSサーバをキャッシュDNSサーバとコンテンツサーバ(権威DNSサーバ)に分け、NWからキャッシュDNSサーバへのアクセスを拒否する」と捉えました。
不特定多数の人にキャッシュDNSサーバを使ってもらうのが目的なのにNWからのアクセスを遮断したら意味なくないですか?というかコンテンツサーバ(権威DNSサーバ)はどこから出てきたのですか?
書いていて意味が分からなくなってきました。
上記問題についてです。
そもそも私のDNSの理解が全く足りていません。
問の意味としては「公開DNSサーバ(8.8.8.8のやうなキャッシュDNSサーバ?)を建てる場合、DNSamp攻撃の踏み台として悪用されないようにするには?」という意味だと捉えました。
答えのアには「DNSサーバをキャッシュDNSサーバとコンテンツサーバ(権威DNSサーバ)に分け、NWからキャッシュDNSサーバへのアクセスを拒否する」と捉えました。
不特定多数の人にキャッシュDNSサーバを使ってもらうのが目的なのにNWからのアクセスを遮断したら意味なくないですか?というかコンテンツサーバ(権威DNSサーバ)はどこから出てきたのですか?
書いていて意味が分からなくなってきました。
2024.06.01 18:03
pixさん(No.2)
★SC ダイヤモンドマイスター
SCの学習においてDNSは基礎であり、確実に理解することが重要です。
キャッシュDNSサーバと公開DNSサーバを混同しているようです。
8.8.8.8はGoogle Public DNSです。
これはGoogleが世界中のユーザに無料で自由に利用してもらうことを目的とした
公開キャッシュDNSサーバです。
問は、一般的な企業でのキャッシュDNSサーバの取り扱いについて問うています。
一般的な企業で利用するキャッシュDNSサーバは、企業内でのみ利用することを
目的として建てられます。
一般企業のキャッシュDNSサーバは公開してはいけません。
もし設定を誤って、外部に公開してしまうと、DNSamp攻撃の踏み台として
利用されてしまいます。
DNSサーバは
・権威DNSサーバ
DNSに関するレコードを管理するサーバ
外部からのDNS問い合わせに応答するために、公開されている必要がある
・キャッシュDNSサーバ(フルリゾルバ)
PCなどのスタブリゾルバの代わりに権威DNSサーバへ問い合わせを行うサーバ
外部に公開してしまうとDNSamp攻撃の踏み台になるので、外部に公開しては
いけない
の2つの機能で分類されます。
DNSサーバを構築する際に権威DNSサーバとキャッシュDNSサーバを1台のサーバ内に
同居して構築することもできます。
しかし、上記の理由から、権威DNSサーバとキャッシュDNSサーバは別サーバとして
分離することが強く推奨されています。
すなわち
・権威DNSサーバは外部に公開することが必須
・キャッシュDNSサーバは外部に公開してはいけない
というのがDNSサーバの基本になります。
キャッシュDNSサーバと公開DNSサーバを混同しているようです。
8.8.8.8はGoogle Public DNSです。
これはGoogleが世界中のユーザに無料で自由に利用してもらうことを目的とした
公開キャッシュDNSサーバです。
問は、一般的な企業でのキャッシュDNSサーバの取り扱いについて問うています。
一般的な企業で利用するキャッシュDNSサーバは、企業内でのみ利用することを
目的として建てられます。
一般企業のキャッシュDNSサーバは公開してはいけません。
もし設定を誤って、外部に公開してしまうと、DNSamp攻撃の踏み台として
利用されてしまいます。
>不特定多数の人にキャッシュDNSサーバを使ってもらうのが目的なのにNWからの
>アクセスを遮断したら意味なくないですか?というか
>コンテンツサーバ(権威DNSサーバ)はどこから出てきたのですか?
>書いていて意味が分からなくなってきました。
DNSサーバは
・権威DNSサーバ
DNSに関するレコードを管理するサーバ
外部からのDNS問い合わせに応答するために、公開されている必要がある
・キャッシュDNSサーバ(フルリゾルバ)
PCなどのスタブリゾルバの代わりに権威DNSサーバへ問い合わせを行うサーバ
外部に公開してしまうとDNSamp攻撃の踏み台になるので、外部に公開しては
いけない
の2つの機能で分類されます。
DNSサーバを構築する際に権威DNSサーバとキャッシュDNSサーバを1台のサーバ内に
同居して構築することもできます。
しかし、上記の理由から、権威DNSサーバとキャッシュDNSサーバは別サーバとして
分離することが強く推奨されています。
すなわち
・権威DNSサーバは外部に公開することが必須
・キャッシュDNSサーバは外部に公開してはいけない
というのがDNSサーバの基本になります。
2024.06.01 18:50
八王子さんさん(No.3)
ありがとうございます。
権威DNSサーバって個人や企業が自分のドメインのIPを返すために立てちゃっていいものなんですね……トップレベルドメインから再帰的に問い合わせて行くものであり、最終的にたどり着く権威DNSサーバはSPI?だとかが管理しているものだけだと思っていました。
また公開キャッシュDNSサーバが特殊なだけで、基本キャッシュサーバは外部に公開しないのですね。
権威DNSサーバって個人や企業が自分のドメインのIPを返すために立てちゃっていいものなんですね……トップレベルドメインから再帰的に問い合わせて行くものであり、最終的にたどり着く権威DNSサーバはSPI?だとかが管理しているものだけだと思っていました。
また公開キャッシュDNSサーバが特殊なだけで、基本キャッシュサーバは外部に公開しないのですね。
2024.06.02 21:08
初心者ですさん(No.4)
横入り失礼します。私もDNSサーバの定義に四苦八苦している初学者です。DNSキャッシュサーバから他社の権威サーバにドメインを問い合わせて、回答を得るということになると、そのキャッシュサーバの所在(IPアドレス?)が公開される、ということになりませんか? 初歩的な質問で申し訳ございませんが、ご教示頂けると助かります。
2024.06.23 10:44
橙色文書さん(No.5)
> 初心者ですさん(No.4)
キャッシュサーバのIPアドレスは他所の権威サーバに知られます。それを公開というのであれば公開されています。
外部からキャッシュサーバに許可されるアクセスはDNSのリクエストに対するレスポンスだけでしょうが、どういったことが疑問ですか?
2024.06.25 20:21
初心者ですさん(No.6)
>橙色文書さん
ご教示ありがとうございます。
公開の意味合いと
>外部からキャッシュサーバに許可されるア>クセスはDNSのリクエストに対するレスポ>ンスだけ
キャッシュサーバへのアクセスは限定されるのですね。疑問がクリアになりました。まだまだ初学者ですが、これからもご指導をお願いします。
2024.06.25 20:54
橙色文書さん(No.7)
> 初心者ですさん(No.6)
念のため、キャッシュサーバへのアクセスが限定されるケースは適切にアクセス制御されている構成のみです。
全てのキャッシュサーバが保護されているとは限りません。
アクセス制御は多くのケースでキャッシュサーバ以外の機器で行われているはずです。
2024.06.27 21:06
初心者ですさん(No.8)
>>橙色文書さん(No.7)
ありがとうございます。キャッシュサーバには適切なアクセス制御されていることが前提なのですね。
2024.06.29 11:31