数週間前にインターネットに釘付けになっていなければ、10 月に東海岸で発生した大規模停電を見逃したかもしれませんね。 Twitter、Reddit、Netflix、Etsy、Spotify などの多くの人気 Web サイトは、何千人ものユーザーがアクセスできない状態でした。
専門家は、この停電は、インターネット インフラ企業 Dyn の DNS サービスに対する大規模な攻撃の結果であると発表しています。
DNS 攻撃に関する懸念は、多くの企業や IT 企業にとって後回しにされてきましたが、それも変わりつつあります。
Google や The New York Times、いくつかの銀行などの企業が、近年さまざまな DNS 攻撃の犠牲になっています。
今後も同様の攻撃が予想されますが、どんな種類の攻撃に注意すべきでしょうか。 DNS ポイズニングとスプーフィング
DNS ポイズニングは、最終的にユーザーを間違った Web サイトに誘導する可能性があります。 たとえば、ユーザーが Web ブラウザに「msn.com」と入力しても、代わりに攻撃者が選んだページがロードされます。
ユーザーは正しいドメイン名を入力しているため、アクセスしている Web サイトが偽物であることに気付かない場合があります。
これは、攻撃者がフィッシング技術を使用して、無防備な犠牲者からログイン認証やクレジットカード情報などの情報をマイニングする絶好の機会です。
攻撃者の意図やDNSポイズニングの範囲などのいくつかの要因に応じて、この攻撃が破壊的になることがあります。 3490>
Trickle-down DNS キャッシング
DNS キャッシングは、ロード時間を短縮し、DNS サーバーへの負担を軽減するために Web 全体で使用されています。 一言で言えば、システムが DNS サーバーにクエリを実行して応答を受け取ると、その情報をローカル キャッシュに保存して、より速く参照できるようにします。 ある DNS サーバーでのレコードは、別の DNS サーバーでレコードをキャッシュするために使用されます。 そのサーバーは、ルーターなどのネットワーキング システムで DNS レコードをキャッシュするために使用されます。 これらのレコードは、ローカル マシンのキャッシュを作成するために使用されます。
Poisoned DNS caches
DNS poisoning は、これらのキャッシュのいずれかが侵害されたときに発生します。 偽の DNS レコードは、各ユーザーのマシンの DNS キャッシュに伝染します。
これは、チェーンの上位で発生することもあります。 これは、インターネット サービス プロバイダーが維持する DNS サーバーのキャッシュを汚染する可能性があります。 この毒は、顧客のネットワーク システムやデバイスにまで浸透し、何百万人もの人々を、攻撃者が選んだ Web サイトにルーティングする可能性があります。 そうではありません。 2010 年、米国中のインターネット ユーザーは、Facebook や YouTube などのサイトからブロックされました。これは、ハイレベルな ISP の DNS サーバーが誤って Great Firewall of China からレコードを取得したためです。 キャッシュされたデータの TTL (Time To Live) が切れるか、管理者が気づいて問題を解決するまで続きます。
TTL の期間によっては、サーバーが自力で問題を解決するのに数日かかる場合もあります。
DNSキャッシュポイズニング攻撃を防ぐ最善の方法は、定期的なプログラムの更新、短いTTL時間の設定、ローカルマシンやネットワークシステムのDNSキャッシュの定期的なクリアです。
Attack #2: DNS Amplification for DDoS
DNS amplification attacks is not threats against the DNS systems.それはDNSのシステムに対する脅威ではありません。 その代わり、DNS サービスのオープンな性質を利用して、分散型サービス拒否 (DDoS) 攻撃の威力を強化します。
DDoS 攻撃は、BBC、Microsoft、Sony、Krebs on Security などの有名なサイトを標的としており、注目されています。
Crank up and amplify
DDoS 攻撃は通常ボットネットで行われます。 攻撃者は、マルウェアに感染したコンピュータのネットワークを使用して、サーバーなどのターゲットに大量のトラフィックを送信します。 目標は、ターゲットに過負荷をかけ、速度を落としたり、クラッシュさせたりすることです。
増幅攻撃は、さらにパンチを加えます。 ボットネットから被害者に直接トラフィックを送信するのではなく、ボットネットは他のシステムに要求を送信します。 これらのシステムは、被害者にさらに大量のトラフィックを送信することで応答します。
DNS 増幅攻撃は、その好例です。 攻撃者は、ボットネットを使用して、オープン DNS サーバーに何千ものルックアップ要求を送信します。 その結果、攻撃者はボットネットから比較的少量のトラフィックを送信し、それに比例して、DNS サーバーからより大量の、つまり「増幅」されたトラフィックを発生させます。 増幅されたトラフィックは犠牲者に向けられ、システムの障害を引き起こします。
防御と偏向
UTM ファイアウォールは、ネットワーク上のシステムに殺到しようとする人工パケットをドロップすることにより、発生時に DDoS 攻撃を認識し停止できるように構成することが可能です。 この方法では、1 つのサーバーが過負荷になっても、別のサーバーを利用できます。
攻撃が小規模の場合、トラフィックを送信する IP アドレスをブロックできます。 さらに、サーバーの帯域幅を増やすことで、攻撃を吸収することができます。
また、DDoS 攻撃に対抗するためだけに設計された、専用の有料ソリューションも多数存在します。
攻撃その 3: DDoS による DNS 攻撃
DDoS 攻撃は多くの異なる種類のシステムに対して使用される可能性があります。 これには DNS サーバーも含まれます。
DNS サーバーに対する DDoS 攻撃が成功すると、サーバーがクラッシュし、サーバーに依存しているユーザーは Web を閲覧できなくなります (注: DNS レコードがローカル キャッシュに保存されていれば、ユーザーは最近訪問した Web サイトにアクセスできる可能性があります)。 DDoS 攻撃により同社のシステムが圧倒されてクラッシュし、何千人もの人々が主要な Web サイトにアクセスできなくなりました。
こうした攻撃をどのように防御するかは、環境におけるあなたのシステムの役割に依存します。 その場合、パッチを適用し続け、ローカル マシンだけがアクセスできるようにするなど、保護するために講じることができる措置があります。 この場合、接続に問題が生じる可能性があります。
このため、複数の DNS サーバーに依存するようにシステムを構成するのがよい方法です。 このように、プライマリ サーバーがダウンした場合、フォールバックとして別のサーバーを使用します。
私たちは、Google の無料のパブリック DNS サーバーを推奨します。 8.8.8.8 と 8.8.4.4 です。 IPv6 アドレスの説明もあります。
攻撃の防止と緩和
DNS サーバー攻撃は主要なネットワーク セキュリティ リスクであり、真剣に対処すべきものです。 企業と IT 企業の両方が、このような攻撃の被害を受けた場合に、その影響を防止および軽減するための安全対策を実施する必要があります。
このような攻撃の結果、ICANN は、DNS サーバー攻撃を防止するために使用する新テクノロジー、DNSSEC でこれらのリスクを重視するようになりました。 この技術の唯一の欠点は、正しく機能するために DNS プロトコルのすべての段階で実装する必要があるという事実です。
DNSSEC のような開発中の技術に目を向けるとともに、最新の DNS 攻撃に対応することは、先手を打つための良い方法です。