DNS水責め攻撃とは

DNS水責め攻撃(DNS Water Torture Attack)とは、DNSサーバーを標的に、複数のマシンから大量のパケットを送るなどしてシステムをダウンさせるDDoS攻撃の一種。「ランダムサブドメイン攻撃」などとも呼ばれる。

DNSは、インターネットに接続された機器に割り当てられたIPアドレスとドメイン名を対応づける仕組みで、インターネット上に存在する多数のDNSサーバーでデータを分散管理している。

DNSサーバーは、ドメイン名に関する完全な情報を持つ「権威DNSサーバー」と、権威サーバーに問い合わせを行うサーバー(「リゾルバー」)のデータを一時保存する機能を備えた「キャッシュDNSサーバー」がある。

DNS水責め攻撃は、適切なアクセス制御が設定されていないキャッシュDNSサーバー(「オープンリゾルバー」と呼ばれる)を悪用し、DNSの問い合わせ(要求パケット)に実在しないサブドメインを付加することで、権威DNSサーバーへの問い合わせを意図的に大量発生させる。これにより、権威DNSサーバーが過負荷状態となり、サーバーダウンやサービス不能状態に陥ってしまう。

「Water Torture(水責め)」という呼び名は、2014年にこの攻撃について報告した米国のセキュリティベンダーによって名づけられた。

DNS水責め攻撃は、オープンリゾルバーを悪用したDDoS攻撃という点で「DNSリフレクション攻撃」(DNS reflection attack)/DNS増幅攻撃(DNS Amplification Attacks、DNS amp)と同様だが、攻撃にDNS要求パケットを用いる点で異なる。

代表的な攻撃対策には、オープンリゾルバーを減らしていくことや、問題のあるホームルーターなどの機器を攻撃に悪用されないよう、ISP側で必要な対策(UDP53番ポートのブロッキングなど)を行うことなどが挙げられる。

セキュリティ用語辞典一覧ページへ

関連キーワード:

DDoS攻撃

DNSリフレクション攻撃

DNS水責め攻撃

オープンリゾルバー

ランダムサブドメイン攻撃

  • IPAが「偽のセキュリティ警告」に注意喚起
  • カテゴリートップへ
  • 「MyJCB」をかたるフィッシングに注意喚起