HOME»情報処理安全確保支援士掲示板»DNSサーバへの脅威と対策について

情報処理安全確保支援士掲示板

掲示板検索:

[0534]DNSサーバへの脅威と対策について

あまえびさん(No.1)
SCの試験において、DNSサーバへの脅威として、キャッシュサーバに偽の応答を仕込むケースが多く見受けられますが、権威サーバ(コンテンツサーバ、ネームサーバ)に対する脅威や対策が題材となった、または関連したSCまたは他の情報処理試験問題はありますでしょうか。

ただ、上記にお答え頂くのは難しいかと思いますので、権威サーバ(コンテンツサーバ、ネームサーバ)に対する脅威や対策の一例を伺えるだけでもありがたいです。

よろしくお願いいたします。
2020.09.22 12:57
わっつさん(No.2)
> 関連したSCまたは他の情報処理試験問題はありますでしょうか。
こちらは記憶がないのでわかる方がいましたらお願いします。
公開されている過去問を流し読みされるのが早い気がします。
関連する区分としては,SCとNWが有力ではないかと思います。

> 権威サーバ(コンテンツサーバ、ネームサーバ)に対する脅威や対策の一例

★DoS/DDoS攻撃
権威サーバに対して大量の要求を送信して機能不能とする攻撃です。
攻撃手法としては有名なので詳細は省略します。

★ゾーン転送
権威サーバも他のサーバ同様に障害対応や負荷分散を目的に冗長構成とするのが一般的でプライマリDNSサーバ(P-DNS)と(単数または複数の)セカンダリDNSサーバ(S-DNS)で構成されています。
P-DNSのレコードが更新された場合には,S-DNSと同期をとるために「ゾーン転送」という仕組みでデータのやり取りが行われますが,S-DNSになりすますことでP-DNSのレコード情報を搾取する攻撃があります。
また,搾取した情報を元にS-DNSに対して改ざんしたゾーン情報を転送される可能性もあります。
対応策としては,以下の点となります。
・ゾーン転送を行うサーバのIPアドレスを限定する(なりすまし防止)
・ゾーン転送時のデータを暗号化する(改ざん防止)
2020.09.25 18:38
あまえびさん(No.3)
わっつさん

遅くなり申し訳ありませんが、ご回答ありがとうございました。
2020.09.29 23:21
しんさん(No.4)
試験の備え、今日覚えた知識(情報)です。
攻撃名称  権威DNSサーバへの水責め(サブドメイン)攻撃
構成    ボットネットワーク群  ⇒  踏み台キャッシュDNSサーバ群  ⇒  標的の権威DNSサーバ
                              (オープンリゾルバの脆弱性あり)
攻撃方法
@PCのボットネットワーク化
Aボットネットワークへの攻撃指令
BボットはIPアドレスをランダムに詐称して、踏み台キャッシュDNSサーバに、
  標的の異なるサブドメインを生成しながら、多量の再帰問合せを送る。
C踏み台キャッシュDNSサーバは、サブドメインの親である標的の権威DNSサーバに問い合わせを送る。

  
2020.09.30 10:16
okomeさん(No.5)
午前でよければ、
29年春午前2問6。
偶然発見したので...

たしかネットワークのほうにセカンダリDNSとプライマリDNS間のゾーン転送にかかわる問題が出ていたと思います。(解いたのは1年前のためどの問題か覚えていませんが...)
2020.09.30 12:03

返信投稿用フォーム

スパム防止のために初投稿日から30日経過したスレッドへの書き込みは禁止しています。

© 2014-2021 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop