Opinion Brawte nfaq 0 Comments

今週のDNSは「Drowning Needed Services(必要なサービスを溺死させる)」を意味します。ネームサーバーシステムの設計上の欠陥を悪用すると、マシンがオフラインになり、洪水状態になる可能性があります。

Table of Contents

今週のDNSは「Drowning Needed Services(必要なサービスを溺死させる)」を意味します。ネームサーバーシステムの設計上の欠陥を悪用すると、マシンがオフラインになり、洪水状態になる可能性があります。

世界のドメイン名システムの設計に新たな脆弱性が見つかり、これを悪用されると、インターネット上のウェブサイトが溢れかえってしまう可能性がある。

NXNSAttackと呼ばれるこの脆弱性[PDF]は、典型的な増幅攻撃に悪用される可能性があります。DNSサーバーに少量の特別に細工したデータを送信すると、DNSサーバーは大量のデータを被害者のサーバーに送信することで応答します。ハッキングされたPCやデバイスの集団(ボットネット)を操り、脆弱なDNSサービスを見つけることができれば、理論的には被害者のシステムを圧倒し、全ユーザーに対してオフラインにするのに十分なネットワークトラフィックを生成することが可能です。

サービス拒否攻撃は 1990 年代の話題ですが、企業を Web から締め出すことは、売上の減少、評判の失墜などにつながる可能性があります。

テルアビブ大学のリオル・シャフィール氏とイェフダ・アフェック氏、そして同じくイスラエルの学際研究センターのアナト・ブレムラー=バール氏は、下図に示す脆弱性を発見しました。アジア太平洋地域のIPアドレス割り当てなどを監督するAPNICが、ここで詳細な分析を行っています。

どのように機能しますか?

要約すると、攻撃者は のようなドメイン名を設定する必要がありますbadperson.comvictim.comのDNSサーバーをダウンさせたいとします。インターネット上の再帰DNSサーバー(ISPやクラウドプラットフォームなどが提供するサーバー)に接続し、IPアドレスなどへの名前解決を依頼しますi.am.a.badperson.com。再帰サーバーは、.comのDNSサーバーに接続して、その情報を取得します。

ネームサーバーは再帰サーバーに対し、求める答えを得るために、、、、などを参照する必要があることを伝えます。another.victim.comこのメッセージには、IPアドレスを含むグルーレコードは含まれません。そのため、再帰サーバー(キーワード「再帰」)はDNSサーバーに接続しsad.victim.com、すべてのサブドメインのレコードを要求します。DNSサーバーは、存在しないサブドメインに対してエラーメッセージを返します。tragic.victim.comfashion.victim.comvictim.comvictim.com

ご覧の通り、たった一つのリクエストが、再帰サーバーとvictim.comネームサーバー間で交換される小さなデータストームへと変化しました。ボットネットにこれを1秒または1分ごとに何度も実行させれば、両方のネームサーバーに大量のパケットを送りつけ、ネットユーザーによる正当な検索を阻止し、システムがダウンしたように見せかけることができます。研究者によると、攻撃を再帰的に拡張することで、ネットワークトラフィックを二重に増幅できるとのことです。サーバーが検索をキャッシュし始め、それ以上パケットを送信しなくなったら、新しく一意のサブドメインを指定するだけで済みます。

NXNS攻撃の図解(Shafir他)

NXNSAttackの図解。
クリックして拡大。クレジット:Shafir他

より技術的な言葉で言えば、科学者たちは次のように説明しました。

NXNSAttackを悪用すると、単一のリクエストから想定されるパケット数の1,620倍ものパケットを強制的に送信できると言われています。実際には、例えばGoogle DNSでは想定されるパケット数の30倍、Cloudflareでは48倍、Oracle Dynでは204倍、IBM Quad9では415倍、Norton ConnectSafeでは569倍のパケットを生成できることが実証されています。

この危険性は深刻で、マイクロソフトも注目しました。チームの研究結果が今週公開されたことを受け、Windowsの巨人である同社はDNSソフトウェアに関する勧告を発表し、応答速度制限を有効にすることを推奨しました。

「マイクロソフトは、Windows DNSサーバーに影響を及ぼすパケット増幅に関する脆弱性を認識しています」とメモには記されている。「この脆弱性を悪用した攻撃者は、DNSサーバーサービスを応答不能にする可能性があります。」

この欠陥は Windows サーバーに限定されるものではなく、Microsoft が他のプラットフォームに関する勧告を公開していないというだけのことです。

この問題を緩和するために、研究者らは、関係する DNS コンポーネント間のトラフィックの急増を軽減する、Max1Fetch と名付けたアルゴリズムをネーム サーバーに実装することを提案しています。

3社は、この脆弱性を公表するかなり前に責任を持って開示したと述べており、複数のDNSソフトウェアメーカーが既にこの脆弱性を修正済み、あるいは修正作業中だ。少なくとも一部のメーカーはMax1Fetch方式を採用している。以下のソフトウェアサプライヤーとサービスプロバイダーが、脆弱性のあるDNSサーバーソフトウェアを修正したと聞いている。

分散型サービス拒否攻撃(DDoS攻撃)による被害を回避するため、DNSサーバーのアップデートを確認し、インストールしてください。「自社でDNSリゾルバを運用している場合は、ブランドを問わず、今すぐ最新バージョンにアップグレードしてください」とAPNICは強く呼びかけています。®

Opinion

Smart Recommendations

Discover More