勉強不足で申し訳ないのですが、質問させてください。

DNSリフレクション攻撃への対策として、キャッシュサーバとコンテンツサーバを分離することが対策の1つであると色々なところで記載がありますが、その理由がよく分かりません。
分離して、インターネット側からキャッシュサーバへのリクエストを受け付けないようにしても、コンテンツサーバに対してIPアドレスを偽装した問い合わせがされれば結局防げないのではないかと思ってしまいます。
DNSの仕組みをちゃんと理解していないから生じた愚問かと思いますがお付き合いいただければと思います。
よろしくお願いします。

>キャッシュサーバとコンテンツサーバを分離することが対策の1つであると
>色々なところで記載がありますが、その理由がよく分かりません。
DNSリフレクション攻撃に利用されるDNSサーバは
・キャッシュサーバ
・コンテンツサーバ
の両方のパターンがあります。

一般的なのがキャッシュサーバのパターンです。
・キャッシュサーバにデータ量の大きい応答をキャッシュさせる
・そのデータをIPアドレスを偽装した攻撃対象となるサーバへ送信する
です。

コンテンツサーバでも同様の攻撃はできますが、データ量サイズは
通常のクエリのため小さく、攻撃にはあまり向いていないと考えられます。

また、一般的にキャッシュサーバのほうがコンテンツサーバよりも
高速にクエリに応答するため、攻撃の踏み台としてはコンテンツサーバを
利用するほうが、攻撃の効果は高いと考えられます。

偽装した踏み台のIPアドレスを使ってくるから、IPレピュテーションとかで応答する範囲を先に絞っておくとか、レートリミットを設定するとかは必要ですね。

ご回答いただきありがとうございました。
コンテンツサーバが攻撃に不向きな理由を教えていただきすっきりしました。どの教材を見てもそこら辺の記載がなかったので大変助かりました。
来年の試験に向けてこれからも精進します！