セキュリティ実装技術 (全74問中21問目)
No.21
DNSキャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃への対策のうち,適切なものはどれか。
出典:平成30年秋期 問39
- 外部ネットワークからの再帰的な問合せにも応答できるように,コンテンツサーバにキャッシュサーバを兼ねさせる。
- 再帰的な問合せに対しては,内部ネットワークからのものだけを許可するように設定する。
- 再帰的な問合せを行う際の送信元のポート番号を固定する。
- 再帰的な問合せを行う際のトランザクションIDを固定する。
- [出題歴]
- 応用情報技術者 H29春期 問41
分類
テクノロジ系 » セキュリティ » セキュリティ実装技術
正解
イ
解説
DNSキャッシュポイズニング攻撃は、DNSキャッシュサーバに偽のDNS情報をキャッシュとして登録させることで、利用者を偽のWebサイトに誘導する攻撃です。
まず設問に登場する「再帰的な問合せ」について確認しておきます。DNSの名前解決はその性質によって「再帰的な問合せ」と「反復(非再帰的)問合せ」に区別されます。
また、DNSでは送信元のIPアドレスとポート番号、トランザクションIDの全てが一致しないと、キャッシュサーバはコンテンツサーバからの正しい応答として認めない仕組みを備えています。このためDNSキャッシュポイズニングが成立するためには、反復問合せに対する偽の応答メッセージに含まれる各情報を正規の応答と一致させる必要があります。DNSの設定で、ポート番号やトランザクションIDが固定されていたり推測されやすいものになっていたりすると、パケットの偽装が容易になり攻撃に対して脆弱になってしまいます。
まず設問に登場する「再帰的な問合せ」について確認しておきます。DNSの名前解決はその性質によって「再帰的な問合せ」と「反復(非再帰的)問合せ」に区別されます。
- 再帰的な問合せ
- リゾルバから名前解決要求を受けたDNSサーバが他のDNSサーバに代理して問合せを行い、最終的な結果をリゾルバに返す必要のある問合せのこと
- 反復問合せ
- リゾルバから再帰的問合せを受けたDNSサーバが、それを解決できるまで繰り返し他のDNSサーバに行う問合せのこと
- 攻撃者は、キャッシュサーバに対して偽の再帰的な問合せを行い反復問合せを強制的に生じさせる。
- キャッシュサーバは、コンテンツサーバに対して反復問合せを行う。
- 攻撃者は、コンテンツサーバが正規の応答を返すよりも先にキャッシュサーバへ偽の応答を送りつける。
- キャッシュサーバは、攻撃者から送られた偽の応答を正規のものと判断しキャッシュに登録する。この時点でDNSクエリは解決済なのでコンテンツサーバから送られた正規の応答は破棄される。
また、DNSでは送信元のIPアドレスとポート番号、トランザクションIDの全てが一致しないと、キャッシュサーバはコンテンツサーバからの正しい応答として認めない仕組みを備えています。このためDNSキャッシュポイズニングが成立するためには、反復問合せに対する偽の応答メッセージに含まれる各情報を正規の応答と一致させる必要があります。DNSの設定で、ポート番号やトランザクションIDが固定されていたり推測されやすいものになっていたりすると、パケットの偽装が容易になり攻撃に対して脆弱になってしまいます。
- キャッシュサーバは外部からの再帰的な問合せに応じない設定にする必要があります。
- 正しい。
- 送信元のポート番号を固定しても、外部からの再帰的な問合せに対して効果はありません。
- トランザクションIDを固定しても、外部からの再帰的な問合せに対して効果はありません。