基本情報技術者試験 ap-2017h29h-a 午前 問41: DNS キャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃への対策のうち，適切なものはどれか。

問題本文

DNS キャッシュサーバに対して外部から行われるキャッシュポイズニング攻撃への対策のうち，適切なものはどれか。

選択肢

• ア.外部ネットワークからの再帰的な問合せにも応答できるように，コンテンツサーバにキャッシュサーバを兼ねさせる。
• イ.再帰的な問合せに対しては，内部ネットワークからのものだけに応答するように設定する。
• ウ.再帰的な問合せを行う際の送信元のポート番号を固定する。
• エ.再帰的な問合せを行う際のトランザクション ID を固定する。

正解

イ. 再帰的な問合せに対しては，内部ネットワークからのものだけに応答するように設定する。

解説

DNS キャッシュポイズニングは，攻撃者が偽の応答をキャッシュサーバに送り込み，誤った名前解決結果(IPアドレス)をキャッシュさせて利用者を不正サイトへ誘導する攻撃である。攻撃の足掛かりとなるのは外部から自由に行える再帰問合せなので，再帰問合せの受付を信頼できる内部ネットワークからのものだけに限定すれば，外部の攻撃者がキャッシュに偽情報を注入する機会そのものを断てる。よって正解はイである。

選択肢ごとの解説

• ア.外部からの再帰問合せに応答する“オープンリゾルバ”状態は，まさに攻撃を受け入れる構成であり対策ではない。コンテンツサーバにキャッシュ機能を兼ねさせるのはむしろ危険である。
• イ.正しい。再帰問合せの応答対象を内部ネットワークに限定すれば，外部の攻撃者は偽応答を送り込む再帰問合せを発生させられず，キャッシュ汚染の機会を排除できる。
• ウ.逆効果である。問合せの送信元ポートはランダム化することで偽応答の的中確率を下げる。ポート番号を固定すると攻撃者が当てやすくなり，かえって危険になる。
• エ.これも逆効果である。トランザクションIDは毎回ランダムに変えることで偽応答を見破る。IDを固定すると攻撃者に推測され，偽応答が受理されやすくなる。