ここではDNS水責め攻撃について説明します。
DNS水責め攻撃って?
DDoS攻撃の一種であり、別名ランダムサブドメイン攻撃(Random Subdomain Attack)とも言います。
※DNS水責め攻撃とランダムサブドメイン攻撃は別物として説明しているサイトもあります。
攻撃先:対象事業者の権威DNSサーバ(NSレコード)
攻撃元:オープンリゾルバとなっている、キャッシュDNSサーバ
手法:攻撃先のドメイン名を元に、使用されていないサブドメイン名に対して問い合わせる。
DNSサーバは使用されていないサブドメインであるため、権威サーバに問い合わせるため、
攻撃先の権威DNSサーバに問い合わせが大量に来ることで、相手の権威DNSサーバを機能停止へ
観測時期:世界的には2014年1,2月頃、
影響は?
DNSサーバに対してDDoS攻撃を受けている最中だとしても、Webサーバに影響がない場合
1.ドメイン名ではなく、直IPアドレスでサイトを閲覧
2.閲覧者のキャッシュDNSサーバにドメイン名が記録されている
2番目のキャッシュDNSサーバはTTL(Time to Live)の値によって保存期間が指定されていますが、
数時間程度が多いです。
オープンリゾルバって何?
インターネット上で公開されているDNSリゾルバ(ドメイン名をIPアドレスに変換するためのシステム)のことです。
通常はインターネットサービスプロバイダ(ISP)や企業のネットワーク内のDNSサーバ等が提供しています。
企業の中では、DNSサーバを作成した際に、権威サーバとキャッシュDNSサーバの両方の機能を持たせ、自社内向けも外向けも両方アクセスできるようにすることで、オープンリゾルバとなってしまいます。
この場合。権威サーバは外向けに、キャッシャDNSサーバは内向けに、それぞれ別設定として作成する必要があります。
しかし、企業のオープンリゾルバをなくしても、ISP等が提供しているオープンリゾルバがありますので、攻撃を断つことは難しいと思われます。
一般のユーザが自由に利用できる、DNSリゾルバ(オープンリゾルバ)を下記に記載します。
- Google Public DNS: Googleが提供するオープンリゾルバです。以下のIPアドレスで利用できます
- IPv4: 8.8.8.8, 8.8.4.4
- IPv6: 2001:4860:4860::8888, 2001:4860:4860::8844
- Cloudflare DNS: Cloudflareが提供するオープンリゾルバです。以下のIPアドレスで利用できます。
- IPv4: 1.1.1.1, 1.0.0.1
- IPv6: 2606:4700:4700::1111, 2606:4700:4700::1001
- OpenDNS: Ciscoが提供するオープンリゾルバです。以下のIPアドレスで利用できます。
- IPv4: 208.67.222.222, 208.67.220.220
これら以外にも、いくつかのオープンリゾルバが存在します。
