DNS
目次
DNS
リゾルバ
リゾルバ(Resolver)は、利用者からの名前解決要求に対してDNSサーバに問い合わせを行い、その結果を利用者に返すクライアントソフトウェア
ゾーン転送
プライマリDNSサーバとセカンダリDNSサーバの間で行われる名前解決情報(ゾーン情報)の同期処理
逆引きIPアドレス
CNAME
ホスト名にエイリアス(別名)を設定するためのレコード。
ドメイン名を管理するDNSサーバを指定するのは「NSレコード」。
過去問
平成28年秋期 問18
Q:DNSに関する記述のうち,適切なものはどれか。
A:DNSサーバに対して,IPアドレスに対応するドメイン名,又はドメイン名に対応するIPアドレスを問い合わせるクライアントソフトウェアを,リゾルバという。
DNSSEC(DNS Security Extensions)
DNSにおける応答の正当性を保証するための拡張仕様。
DNSサーバーから送られてくるIPアドレスとホスト名の対応情報の信頼性を証明するセキュリティ拡張機能。
DNSキャッシュ・ポイズニングのようなDNS応答のなりすまし攻撃を防ぐためのもの。
過去問
平成28年秋期 問13
Q:DNSSECで実現できることはどれか。
A:DNSキャッシュサーバからの応答中のリソースレコードが,権威DNSサーバで管理されているものであり,改ざんされていないことの検証
DNS水責め攻撃(ランダムサブドメイン攻撃)
オープンリゾルバとなっているDNSキャッシュサーバに対して,攻撃対象のドメインのサブドメイン名をランダムかつ大量に生成して問い合わせ,攻撃対象の権威DNSサーバを過負荷にさせる。
過去問
平成29年春期 問6
Q:DNS水責め攻撃(ランダムサブドメイン攻撃)の手口と目的に関する記述のうち,適切なものはどれか。
A:オープンリゾルバとなっているDNSキャッシュサーバに対して,攻撃対象のドメインのサブドメイン名をランダムかつ大量に生成して問い合わせ,攻撃対象の権威DNSサーバを過負荷にさせる。
DNSキャッシュポイズニング
キャッシュに存在しないサブドメインを使用して膨大な数のDNSクエリを強制的に発生させる
カミンスキー攻撃
キャッシュに存在しないサブドメインへのDNSクエリ発行を利用して、攻撃を従来より効率良く成立させる手法
過去問
平成29年秋期 問6
Q:DNSに対するカミンスキー攻撃(Kaminsky's attack)への対策はどれか。
A:問合せ時の送信元ポート番号をランダム化することによって,DNSキャッシュサーバに偽の情報がキャッシュされる確率を大幅に低減させる。
名前連鎖攻撃(Name Chaining)
攻撃対象のDNSサーバに対して,攻撃者が管理するドメインのサブドメイン名をランダムかつ大量に生成してキャッシュさせ,正規のDNSリソースレコードを強制的に上書きする。