Go to Qiita Advent Calendar Top
LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Day 12

ラクスパートナーズ Advent Calendar 2025

@mzuk(Yuki Matsui)in株式会社ラクス

DNS増幅攻撃

Last updated at Posted at 2025-12-11

DNS(Domain Name System)はドメイン名(例: qiita.com )とIPアドレス(例: 18.65.207.34 )の紐づけを行い名前解決を行うサービスです。

DNSでの名前解決は、ブラウザを使わなくてもコマンド(nslookup, dig, hostなど)でできます。あとはIPひろばのようなドメイン名、IPから検索できるサイトもあります。

日常のWebブラウジングを快適にするハックとしてPC、スマホで使用するDNSをCloudflare(1.1.1.1)にするというものもあり、DNSは非常に身近な技術になっています。

DNS増幅攻撃(DNS reflection/amplification attack)

攻撃者は自分のIPを標的のIPに変更して様々なDNSにDNSクエリを送信します。各DNSは標的のホストに対してDNSレスポンスを返却します。これにより標的のホストのリソースを圧迫し、サービス不能を引き起こします。

検知

  • 異常なUDP/53トラフィックの増加
    • DNSリクエスト・レスポンス(UDP/ポート53)
  • 応答サイズの異常
    • DNSはリクエストによってレスポンスを大きくすることができる

対策

  • オープンリゾルバを止める
    • DNSサーバーで再帰(recursion)を無効化し、信頼できるクライアントのみ許可する
  • 応答レートを制限
    • DNSサーバーにResponse Rate Limiting(RRL)を導入し、同一クエリへの応答頻度を制限する。
  • ルーター・ファイアウォールで送信元IPの正当性を検証

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?