DNS 増幅攻撃では、ドメイン・ネーム・システム(DNS)プロトコルが悪用されます。このプロトコルを使用して、クライアントはドメイン名または IP アドレスを要求する DNS クエリーをサーバーに送信します。サーバーはこれを処理して、ホストやその他のネットワークリソースの特定に使用されるリソースレコードを含む応答を返します。
DNS 増幅攻撃は分散型サービス妨害(DDoS)攻撃の一種で、攻撃者は脆弱な DNS サーバーを悪用して正当なトラフィックを大量に送信します。DNS 増幅攻撃の目的は、標的のシステムを圧倒的な量のデータであふれさせて、正規ユーザーの使用を妨害することです。
DNS 増幅攻撃を仕掛けるために、攻撃者は悪意を持って作られたドメイン・ネーム・システム(DNS)メッセージを使用します。このメッセージは、脆弱なサーバーや設定ミスのあるサーバーから送信され、膨大なトラフィックを生成します。こうしたタイプの攻撃は、攻撃者にとって、ソース IP アドレスを偽装できるため匿名性が高まり、また、他の DDoS 攻撃より比較的低コストで実行できるというメリットがあります。
DNS とは
DNS は、ドメイン・ネーム・システムの略称です。プロトコルの 1 つで、ドメイン名( www.example.comなど)を、対応する IP アドレス(192.168.1.1 など)と結びつけます。DNS サーバーはインターネットの「電話帳」として機能し、インターネットに接続するあらゆるデバイスは、DNS サーバーを使用して Web 上の Web サイトやその他のサービスにアクセスします。各ドメイン名はインターネット・サービス・プロバイダー(ISP)に登録されています。特定のドメイン名と IP アドレスの組み合わせで提供される適切な Web ページやその他のリソースには世界中のユーザーがアクセスしますが、DNS は、そうしたトラフィックをルーティングするのに役立ちます。
Akamai による DNS 増幅攻撃と DDoS 攻撃の阻止
Akamai が提供するエンドツーエンドの DDoS 防御が、防御の最前線となり、専用エッジ、分散型 DNS、およびクラウドの緩和戦略を通じて、巻き添え被害や Single Points of Failure を防止します。Akamai の専用 DDoS クラウドは、専用のスクラビング機能と高品質の緩和機能を備えており、Web アプリケーションやインターネットベースサービスの特定の要件に合わせてきめ細かく調整できます。
DNS 増幅攻撃などの DDoS 攻撃を阻止するための最も効果的な方法の 1 つが、Akamai Prolexic です。Akamai Prolexic は、すべてのポートとプロトコルにわたって、データセンター全体とインターネットに面したインフラ全体を DDoS 攻撃から保護する、実証済みのクラウド・スクラビング・サービスです。Prolexic を使用すると、トラフィックは、グローバルに分散した大容量スクラビングセンター全体で、BGP Anycast を通じてルーティングされます。このスクラビングセンターでは、Security Operations Command Center(SOCC)が予防的でカスタマイズ可能な緩和制御によって攻撃を即座に阻止します。Prolexic は、最も近い場所にあるスクラビングセンターにトラフィックをルーティングし、攻撃元の近くで攻撃を阻止することで、ユーザーのパフォーマンスを最大化するとともに、クラウド配信を通じてネットワークの耐障害性を維持できます。スクラビングが完了すると、論理的に分離された、または専用の、アクティブな接続を通じてクリーンなトラフィックが顧客のオリジンに返されます。
Prolexic は、常時稼働サービスまたはオンデマンドサービスとしてご利用いただけるので、柔軟な統合モデルを提供し、ハイブリッドオリジン全体における多様なセキュリティ体制のニーズに対応できます。
Akamai Prolexic は、セキュリティチームに以下のようなメリットをもたらします。
- 事前対応型の緩和制御と Prolexic のゼロ秒 SLA により、DDoS 攻撃のリスクを軽減
- 緩和品質を犠牲にすることなく、非常に複雑な SSL/TLS 消費 DDoS 攻撃を阻止
- アプリケーションのホスト先を問わず、DDoS 緩和ポリシーを組織全体に一貫して適用することで、セキュリティ対策を統一
- サービス検証演習、カスタムランブック、運用準備ドリルにより、インシデント対応を最適化して、事業継続性を確保
- 225 名以上のフロントライン SOCC 緊急対応要員がサポートする、完全マネージド型ソリューションにより、セキュリティリソースを拡張
よくある質問(FAQ)
増幅攻撃とは、攻撃者がドメイン・ネーム・システム(DNS)サーバーやインターネット制御通知プロトコル(ICMP)ping などの仕組みを通じて大量のリクエストを送信し、非常に大きな応答を受信するサイバー攻撃の一種です。攻撃者はこうしたリクエストの増幅を利用して、標的のネットワークやサービスに対して DDoS 攻撃を仕掛けてくる可能性があります。送り返される応答が大きいほど生成されるトラフィックが増え、狙われた Web サーバーやその他のネットワークリソースへの負荷が高まります。このような攻撃を誘発するのはコンピューターシステムの脆弱性であり、攻撃者は送信元アドレスを偽装してリクエストを送信し、元の要求を何倍もの規模に増幅します。
増幅攻撃とは、攻撃者が DNS サーバーや ICMP ping などの仕組みを通じて大量のリクエストを送信し、非常に大きな応答を受信するサイバー攻撃の一種です。送信者からのトラフィックは増幅され、攻撃者はこれを利用して標的のネットワークやサービスに対して DDoS 攻撃を仕掛けてくる可能性があります。
リフレクション攻撃も DDoS 攻撃の 1 つであり、インターネットサーバーの脆弱性を悪用し、偽装した送信元アドレスでリクエストを送信します。攻撃に使われるプロトコルがネットワークで提供されていると、このリクエストは有効なコンポーネントから反射するように送り返されてきます。これにより、要求のコピーが複数作成され、標的のネットワークやサービスにトラフィックが押し寄せるので、正規のユーザーによるリソースへのアクセスが妨害されます。ただし、増幅攻撃とは異なり、送り返されるデータのサイズは増加しません。代わりに、1 つのリクエストが複数の有効な標的から送り返されるので、トラフィックは増加しますが増幅効果はありません。
DNS 攻撃から身を守るのに特に効果的な方法は、サーバーの設定を安全かつ最新の状態に保つことです。例えば、パブリックサーバーで再帰的クエリーサポートを無効にする、あるいはファイアウォールのルール設定により既知の攻撃元からの受信リクエストをブロックする、といった対策が考えられます。また、レート制限ポリシーを適用して、単一の IP アドレスまたはサブネットから受け付けるリクエストの数を制限することも推奨されています。
侵入検知システム(IDS)や侵入防止システム(IPS)などのサイバーセキュリティツールの実装も、DNS 増幅攻撃の検知と防止に役立ちます。こうしたシステムの働きにより、発信元アドレスの偽装などを示すフラグが設定されたクエリーや応答など、悪性のパケットに共通する特性を見つけ出すことができます。さらに、新しい IDS/IPS システムの場合、DNS 増幅攻撃の検知と防止の機能が組み込まれているものも多数あります。
攻撃のリスクをさらに低減するためには、セキュリティパッチをタイムリーに適用してソフトウェアを最新の状態に保つことが重要です。攻撃者は旧式のソフトウェアの脆弱性を悪用することが多いため、ネットワークに対する DNS 増幅攻撃を成功させる機会を減らすうえでも有効な対策と言えます。また、ネットワークトラフィックを定期的に監視し、単一のソースから異常な量のクエリーや応答を受信していないか、または短時間で大量のリクエストが送信されていないか、など、疑わしいふるまいに備えて警戒することも重要です。
Akamai が選ばれる理由
Akamai はオンラインライフの力となり、守っています。世界中のトップ企業が Akamai を選び、安全なデジタル体験を構築して提供することで、毎日、いつでもどこでも、世界中の人々の人生をより豊かにしています。 Akamai Connected Cloudは、超分散型のエッジおよび クラウドプラットフォームです。ユーザーに近いロケーションからアプリや体験を提供し、ユーザーから脅威を遠ざけます。