平成31年春期 午前問題40
DNSSECについての記述のうち,適切なものはどれか。
1、DNSSECは、DNS Security Extensionsの略で、
DNSにおける応答の正当性を保証するための拡張仕様です。DNSSECではドメイン応答にディジタル署名を付加することで、正当な管理者によって生成された応答レコードであること、また応答レコードが改ざんされていないことの検証が可能になります。
・DNSSECの導入はDNSキャッシュポイズニング攻撃への有効な対策となります。
・DNSSECは、ディジタル署名を利用するため、共通鍵暗号方式は採用されない。
・DNSは、 ドメインネームシステム(Domain Name System)。インターネット上のホスト名とIPアドレスを対応させるシステム。
・DNSSECは、 ディジタル署名によって DNS 応答の正当性を確認できる。
・IPsecは、 PCからサーバに対し、IPv6を利用した通信を行う場合、ネットワーク層で暗号化を行うのに利用する。
・ディジタル署名は、 受信者は、ハッシュ関数を用いてメッセージからハッシュ符号を生成し、送信者の公開鍵で復号したハッシュ符号と比較する。
・デジタル署名は公開鍵暗号を応用した技術でもあり、デジタル署名の仕組みのなかで公開鍵と秘密鍵も 登場します。ハッシュも使用しています。デジタル署名を実現できる方式にはRSAやDSAなどがあります。
2、DNSキャッシュポイズニング攻撃では、
攻撃者が偽の応答パケットをキャッシュサーバに送り込み、それをキャッシュサーバが受理してしまうことによって攻撃が成立するので、DNSSECの使用が根本的な対策になります。しかし、各DNSサーバのDNSSEC対応、電子署名に必要な鍵の管理や配布方法の確立、ルートやTLDの署名が必要なことなど、さまざまな課題があり、普及に当たっては今しばらく時間が必要です。
3、カミンスキー攻撃
カミンスキー攻撃は、標的のキャッシュサーバに、ランダムかつ大量に生成した偽のサブドメインのDNS情報を注入する攻撃である。
4、ソースポートランダマイゼーションとは、
クエリごとに、フルリゾルバ(いわゆるキャッシュDNSサーバー)が権威DNSサーバーに送るクエリパケットのソースポート番号をランダムに変化させることである。
5、DoS攻撃
DoS攻撃(ドスこうげき、英: Denial-of-service attack)は、情報セキュリティにおける可用性を侵害する攻撃手法のひとつ。
ウェブサービスを稼働しているサーバやネットワークなどのリソース(資源)に意図的に過剰な負荷をかけたり脆弱性をついたりする事でサービスを妨害する。
6、DDoS攻撃
フラッド型のDoS攻撃には、大量のマシンから1つのサービスに、一斉にDoS攻撃を仕掛けるDDoS攻撃(ディードスこうげき、分散型サービス妨害攻撃、英: Distributed Denial of Service attack)という類型がある。
DDoS攻撃は、複数のシステムを使用して、サーバー、ネットワークデバイス、またはトラフィックとリンクして、利用可能なリソースを圧倒し、正当なユーザーに応答できないようにする攻撃である[5]。
・DoS攻撃やキャッシュポイズニング攻撃を防止するための対策
DNSの再帰的な問合せの送信元として許可するクライアントを制限することによって,DNSを悪用したDoS攻撃を防止する。
参照: