合格.dev › 情報処理安全確保支援士試験 › 情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅱ › 問15 情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅱ 問15: DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp攻撃)の踏み台にされることを防止する対策はどれか。 ← 情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅱ
☆ DNS の再帰的な問合せを使ったサービス不能攻撃(DNS amp攻撃)の踏み台にされることを防止する対策はどれか。
DNSキャッシュサーバとコンテンツサーバに分離し,インターネット側からDNSキャッシュサーバに問合せできないようにする。
問合せがあったドメインに関する情報をWhoisデータベースで確認する。
一つのDNSレコードに複数のサーバのIPアドレスを割り当て,サーバへのアクセスを振り分けて分散させるように設定する。
他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を,ディジタル署名で確認するように設定する。
問題本文 DNS の再帰的な問合せを使ったサービス不能攻撃(DNS amp攻撃)の踏み台にされることを防止する対策はどれか。
選択肢 ア. DNSキャッシュサーバとコンテンツサーバに分離し,インターネット側からDNSキャッシュサーバに問合せできないようにする。イ. 問合せがあったドメインに関する情報をWhoisデータベースで確認する。ウ. 一つのDNSレコードに複数のサーバのIPアドレスを割り当て,サーバへのアクセスを振り分けて分散させるように設定する。エ. 他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性を,ディジタル署名で確認するように設定する。正解 ア. DNSキャッシュサーバとコンテンツサーバに分離し,インターネット側からDNSキャッシュサーバに問合せできないようにする。
解説 DNS amp攻撃は、誰でも再帰問合せに応じるオープンリゾルバを踏み台にし、送信元を標的に偽装した問合せで大きな応答を標的へ集中させる。踏み台化を防ぐには、キャッシュサーバとコンテンツサーバを分離し、外部からキャッシュサーバへ再帰問合せできないよう制限するのが有効。実務ではアクセス制御で再帰問合せ元を内部に限定し、踏み台化を断つ。
選択肢ごとの解説 ア. キャッシュとコンテンツを分離し外部からの再帰問合せを遮断する設定が踏み台化防止に直結し正しい。イ. Whoisでの確認は攻撃の踏み台化防止とは無関係であり対策にならないため誤り。ウ. 複数IPでの負荷分散は可用性向上策であり、増幅の踏み台化を防がないため誤り。エ. 署名での対応情報検証はDNSSECの内容であり、自サーバが踏み台にされる問題の対策ではないため誤り。情報セキュリティスペシャリスト試験 平成27年度春期 午前Ⅱ の過去問一覧 へ戻る・問15
この問題で扱った分野をさらに深掘りしたい方へ。情報処理安全確保支援士試験の試験概要・出題範囲・合格基準・標準学習スケジュール・分野別の攻略法までを 1 ページに集約した独自編集の学習ガイド と、よくある質問をまとめた FAQ を用意しています。
解答に出てきた用語や手順を体系的にまとめて確認したいとき 受験スケジュール・申込み方法・合格基準を改めて整理したいとき 本サイトの「順番に解く / ランダム / 模試」など学習モードの使い分けを知りたいとき
この問題ページの解説・ヒント・分野タグ・関連問題リンクは、すべて合格.dev 編集部による独自編集です (問題文・選択肢は試験団体の公表過去問の引用)。詳しくは 編集方針 ・ 出典一覧 を参照してください。