RECOMMEND
SELECTED ENTRIES
CATEGORIES
ARCHIVES
MOBILE
qrcode
LINKS
PROFILE
OTHERS

11
--
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
--
>>
<<
--

アルシオーネコート

資格取得とか、ファイナンスとか、株式投資とか、ライフプランニングとか、アプリ開発(xcode)とか
平成25年 秋期 ネットワークスペシャリスト 午前II 問21
0

    ▪️問題
    DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策はどれか。

    キャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。
    問合せされたドメインに関する情報をWhoisデータベースで確認する。
    一つのDNSレコードに複数のサーバのIPアドレスを割り当て、サーバへのアクセスを振り分けて分散させるように設定する。
    他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をディジタル署名で確認するように設定する。

    ▪️解説
    DNSamp攻撃はDOS攻撃の一種でDNSの機能を利用した方法です。
    以下のようなかたちで攻撃者が踏み台と利用します。
    攻撃者→DNSサーバ→被害者

    攻撃者は送信元を被害者に偽装したかたちでDNS要求を行います。それに対してDNSサーバ(キャッシュサーバ)は偽装された被害者サーバ宛に応答を返します。
    この応答パケットをそれなりに大きなサイズとすることができるため、攻撃者は効率的に攻撃ができます。

    実際にはDNSサーバはBOTといわれ複数台のサーバが登録されているため
    攻撃者は複数台のDNSサーバに同時に要求しその応答が被害者サーバへと届くのです。

    BOTとしてDNSを利用されないようしっかりとしたセキュリティ対策をおこう必要があります。

    DNSキャッシュサーバはインターネットからの接続はFWにて拒否するようにしてください。

    内部用(キャッシュ)、外部用(コンテンツ)にわけたDNSサーバの構成(外部用はDMZに設置)にするようにしてください。

    ▪️解答


     
    | ネットワークスペシャリスト | 14:53 | comments(0) | - | - |