情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度春期 午前Ⅱ 問6: DNS 水責め攻撃（ランダムサブドメイン攻撃）の手口と目的に関する記述のうち，適切なものはどれか。

問題本文

DNS 水責め攻撃（ランダムサブドメイン攻撃）の手口と目的に関する記述のうち，適切なものはどれか。

選択肢

• ア.ISP が管理する DNS キャッシュサーバに対して，送信元を攻撃対象のサーバの IP アドレスに詐称してランダムかつ大量に生成したサブドメイン名の問合せを送り，その応答が攻撃対象のサーバに送信されるようにする。
• イ.オープンリゾルバとなっている DNS キャッシュサーバに対して，攻撃対象のドメインのサブドメイン名をランダムかつ大量に生成して問い合わせ，攻撃対象の権威 DNS サーバを過負荷にさせる。
• ウ.攻撃対象の DNS サーバに対して，攻撃者が管理するドメインのサブドメイン名をランダムかつ大量に生成してキャッシュさせ，正規の DNS リソースレコードを強制的に上書きする。
• エ.攻撃対象の Web サイトに対して，当該ドメインのサブドメイン名をランダムかつ大量に生成してアクセスし，非公開の Web ページの参照を試みる。

正解

イ. オープンリゾルバとなっている DNS キャッシュサーバに対して，攻撃対象のドメインのサブドメイン名をランダムかつ大量に生成して問い合わせ，攻撃対象の権威 DNS サーバを過負荷にさせる。

解説

DNS水責め(ランダムサブドメイン)攻撃は、実在しないランダムなサブドメイン名を大量に問い合わせることでキャッシュが効かず、その問合せが標的ドメインの権威DNSサーバへ次々転送され過負荷に陥らせる攻撃。オープンリゾルバを踏み台にする点も含めイが適切。対策はオープンリゾルバの停止や問合せレート制限。

選択肢ごとの解説

• ア.送信元を詐称し応答を標的へ向けるのは反射型(DRDoS)の説明で、水責めの本質である権威DNS過負荷とは異なる。
• イ.ランダムなサブドメインを大量問合せして標的の権威DNSを過負荷にする水責めの手口どおりで、正解。
• ウ.偽情報をキャッシュさせ正規レコードを上書きするのはDNSキャッシュポイズニングの説明である。
• エ.サブドメインを試して非公開ページを探すのはディレクトリ探索的な発想で、DNS水責めではない。