DNS攻撃のトレンド

DNS攻撃のトレンド

はじめに

今回は、近年増加傾向にあるDNS攻撃を分類してみました。
全体を俯瞰できるようにあえて広く浅い情報となっていますが、DNSを取り巻くリスクを知る手掛かりにはなると思います。



DNS攻撃の分類

まず最初にDNS攻撃を特徴に応じて3つに分類してみます。

DNS攻撃の分類

量による攻撃

DNS特有の攻撃

攻撃ではなく、利用が目的

各タイプについて説明します。


量による攻撃

主な攻撃手法

攻撃名称 概要
DNSアンプ

サイズの大きなTXTレコードをDNSサーバに予めキャッシュさせておき、そのレコードを応答するクエリーパケットを大量に送りつける方法です。

大量の応答パケットで単純に回線をパンクさせることを目的にする場合もありますが、クエリパケットの送信元を攻撃対象のアドレスに詐称することで大量の無駄なデータを攻撃対象に送り付けることも出来ます。

一つのクエリパケットのデータ量に比べて応答パケットのデータ量が大きいため、アンプという名称が付けられました。

DNSリフレクション オープンリゾルバ状態になっている第三者のDNSサーバを利用して攻撃対象にDoS(DDoS)攻撃を仕掛ける方法です。DNSサーバを反射板のように利用して攻撃を行う事からこのような名称が付けられました。
TCP/UDP/ICMP フラッド レイヤー3,4レベルのDoS攻撃で、大量のトラフィックを送りつけてネットワークまたはサービスをダウンさせる方法です。レガシーで手段も単純ですが効果は絶大です。

DNS特有の攻撃

攻撃名称 概要
DNSキャッシュポイズニング

キャッシュサーバに偽の情報(不正なアドレス)をキャッシュさせる方法です。

カミンスキーが明らかにした攻撃手法とその進化系とされているゾーンを持たないサブドメインへの毒入れ方法などが有名です。

DNSエクスプロイト/プロトコルアノマリ DNSソフトウェアの脆弱性をついた攻撃方法です。
"Improper use of compression pointer"攻撃などが有名です。

攻撃ではなく、利用が目的

主な攻撃手法

攻撃名称 概要
DNSトンネリング

データの通信経路としてDNS通信をトランスレイヤで利用、他のプロトコルをトンネリングさせる方法で、攻撃ではなく企業情報を盗むための通信手段としてDNSを利用する方法です。

中から外に対するDNS通信は重要な通信であるため、ゲイトウェイの機器で安易に止めることが出来ないことを上手く利用しています。

攻撃者の動機と目的

DNSに対する攻撃者の動機としては、政治・イデオロギーに関連した行動、オンラインゲーム関連、個人の利得に関連したものなどが上位を占めています。ただし、これらの分類は高次で抽象化してようやくランク付けした印象は否めず、実際には様々な動機と目的達成のための手段として、インターネット上に公開されているDNSは常に攻撃されるリスクにさらされていると言えます。

この場合、攻撃者はDNSを攻撃したいわけではなく、目的は別のところにありますが、結局のところ攻撃手段の対象としてDNSは格好の的になっています。

エンタープライズにおける対策のポイント

前述した三つの分類のうち、エンタープライズ企業が自身で取り組まなくてはならないのは、3つのタイプのうち、"攻撃ではなく、利用が目的" です。ほか二つの対処が不要かというと全くそうではなく、前述した通り、攻撃手段として公開されているDNSは常に攻撃のリスクにさらされており、攻撃された時に企業が受ける影響は甚大です。

とは言え、企業自身が率先してリスクをアセスメントしようにも、対象のDNSをアウトソースしている場合においてはやり様がないというのが実情です。後述しますが、防御は委託されている通信事業者、サービスプロバイダおよびホスティング業者の責任において対策されます。

アウトソースを改め、自身で責任をもって管理するというのも企業が取り得る手段の一つですが、委託先に任せたほうが結局のところ最大のリターンを得られると言うのが現状です。委託されている事業者から見ると全く逆の景色が見えてきそうです。

DNS及びDDos攻撃の歴史

話題を変えて、今度はDNSの仕組みが利用されてから今日までを整理してみます。
DNSは常に攻撃の対象とされて来た様子が概観できると思います。

狙われる通信事業社、サービスプロバイダ、ホスティング事業社

時期 出来事 概要
1983年6月23日 DNSの誕生 南カリフォルニア大学でDNS(Domain Name System)が開発されました。
1984年5月 BINDの誕生 BIND(Berkeley Internet Name Domain)が、カリフォルニア大学バークレー校「Computer Systems Research Group」によって開発/発表されました。
1989年1月 日本でDNS運用開始 TCP/IP接続への移行、「.JUNET」から「.JP」への移行に並行して、DNS(BIND)の運用管理が開始されました。
2002年10月21日 ルートネームサーバへのDDoS攻撃 13のルートネームサーバが一斉に DDoS 攻撃を受ける事件が発生しました。
2006年1月3日 DNSアンプ攻撃を利用したDDoS攻撃が流行 2006年1月3日から2月中旬にかけて世界の約1,500の組織が攻撃の的になりました。本格的にDDoS攻撃にDNSアンプの方法が利用されました。
2006年3月29日 DNSアンプ攻撃を利用したDDoS攻撃に関する注意喚起 JPCERT/CCから「DNSの再帰的な問合せを使ったDDoS攻撃に関する注意喚起」が発表されました。
2008年7月29日 AT&T DNSキャッシュポイズニング攻撃 8月公開予定であったカミンスキーアタックの情報が7月22日に流出しました。脆弱性情報を基に作成された攻撃ツールにより、AT&TのDNSサーバのキャッシュ情報が書き換えられ、広告サイトに誘導される事件が発生しました。
2009年5月19日 DDoS攻撃 中国電信 DNSサーバダウン

攻撃者が対立ゲームサーバをDDoS攻撃しましたがサーバが堅牢であった為、攻撃対象をDNSへ変更したという経緯があります。結果、ゲームサーバが利用していたDNSpodが攻撃を受けてプライマリサーバダウンしました。

中国の人気マルチメディアプレーヤー「暴風影音」が同DNSを利用しており解決できないクエリーが中国電信のDNSサーバに溜まり中国電信のDNSサーバがダウンしました。結果、世界的な大規模ネットワーク障害を引き起こしました。

2012年9月 米銀行へのDDoS攻撃作戦
Operation Ababil
反イスラムをテーマにした映画へ対する報復として長期DDoS攻撃が繰り返し続きました。
2013年3月18日 Spamhausに300GbpsのDNS DDoS攻撃

スパム対策組織(Spamhaus)がオランダのウェブホスティング業者をブラックリストに加えた事に対する報復としてDNSが攻撃されました。

様々な攻撃手法を用いて、ピーク時には過去最大の300GbpsのDDoS攻撃が発生、約31,000台のオープンリゾルバがこの悪事に利用されました。

2013年12月末 League of LegendsにNTP DDoS攻撃 オンラインゲーム「League of Legends」に対して、NTP monlistを悪用した100GbpsのDDoS攻撃が発生しました。
2014年2月10日 CloudFlare社で400GbpsのNTP DDoS攻撃 CloudFlare社の顧客にて、NTP monlistを悪用した400GbpsのDDoS攻撃を観測。1,298の異なるネットワークの4,529のNTPサーバが利用されました。
2014年4月15日 DNSキャッシュポイズニング攻撃への注意喚起 JPCERTから、未だにポートランダマイズが有効でないDNSサーバを狙ったキャッシュポイズニング攻撃が発生している事を背景とした注意喚起が発表されました。
2014年7月23日 警察庁から新たなDDoS攻撃に関する注意喚起 国内の「オープンリゾルバ」を踏み台にしたDDoS攻撃が発生しているとして再度注意喚起がおこなわれました1

脆弱な設定のままで無造作にインターネットに接続されているオープンリゾルバの存在を減らすための活動は、警視庁や公的機関から発せられる注意喚起にとどまらず、サービスプロバイダや通信事業者の草の根運動的な活動や、宅内ルータを製造するメーカー等の対応によって改善されてはいるものの、オープンリゾルバを根絶するまでには至りません。

エンタープライズ企業から預かり受けたDNSのサービスを維持するためのコストは、託された企業にとって、大きな課題になっています。

狙われる通信事業社、サービスプロバイダ、ホスティング事業社

既に前述していますが、近年通信事業社、ISP、ホスティングサービスに対する攻撃は加速度的に増加しています。

当該事業社は、2つの側面において大きな役割を担っています。

  • 様々な業種における企業の公開DNSサーバはISPやホスティング事業社によって運営もしくはサービスを提供している。
  • 同事業社はコンシューマがインターネットを利用するために必要なキャッシュDNSを付加的なサービスとして提供している。

攻撃の対象や目的が何であれ、攻撃者が相手のインターネットxxx(利用、システム等々)にダメージを与えたいと考えた場合、コストパフォーマンスの高い攻撃対象が選ばれます。
現在の状況を考えると、DNSはよほどコストパフォーマンスが高いようです。

  • 企業を狙う
  • 社会に物申す
  • ゲームでやられた憂さを晴らす

攻撃の動機は様々ですが、インターネットを利用する際に欠くことの出来ないDNSのシステムは常に攻撃対象としては有力候補です。

  • インターネットでサービスを提供する企業
  • インターネットを利用して自社システムを利用する企業
  • インターネットを通じてサービスを利用するコンシューマ

ほとんどすべてのインターネットへのアクセスはDNSを利用して行われます。
そして、その重要なシステムを運営しているのがサービスプロバイダーでありホスティング事業社です。

攻撃特性の変化

近年、DNSに対する攻撃は長期化、複雑化、そして多様化しています。特にDDoS攻撃の期間を過去と現在で比較してみると、攻撃時間が長期化してきているのがわかります。

また、スロードリップやTsunamiなど、単純な量による攻撃から、パターンを複雑にした新種の形態が既存の攻撃方法に加わっています。変化ではなく増えているのは、防御する側としては厄介な状況です。

規模と頻度の変化

多様化だけにとどまらず攻撃の規模も指数的な増加傾向にあります。
DDoS攻撃においては、2014年に最大で309Gbpsの攻撃が報告されています。

サービス提供側の動向

DNSソフトウェアの多様化

以前は、BIND一本のように思われていたDNSソフトウェアも近年では随分多様化してきました。
以下に代表的なソフトウェアをまとめてみました。

オープンソース系

名称 概要
BIND9 DNSサーバのデファクトスタンダード
権威サーバ、フルサービスリゾルバ
BIND10 2014年1月30日 BIND 10.1.1.0リリース
権威サーバ機能提供、リゾルバ機能は実証実験実装
NSD 権威サーバ特化型
Unbound フルサービスリゾルバ特化型(簡易権威サーバ機能はあり)
PowerDNS 権威サーバ、フルサービスリゾルバ
djbdns 権威サーバ、フルサービスリゾルバ(別々のプロセス)
MaraDNS 権威サーバ、フルサービスリゾルバ
その他 Posadis、MyDNS、Pliant DNS Clinet and server、Eddie、Oak DNS Server…etc

参考 商用ソフトウェア、アプライアンス系

名称 概要
Infoblox/Trinzic 権威サーバ、フルサービスリゾルバ
nominum ANS / Authoritative Name Server 権威サーバ特化型ソフトウェア
nominum Vantio Base System フルサービスリゾルバ特化型ソフトウェア
(CNSをベースに開発)
XACK DNS 権威サーバ、キャッシュサーバ(フルサービスリゾルバ)に分かれている。ソフトウェア提供。
UltraDNS DNSホスティングサービス(権威サーバ)、Cloudサービスとしてキャッシュサーバ機能も提供

BINDの脆弱性

ソフトウェア、商用製品が多様化している現在においても、最も攻撃対象にされるのはやはりBINDです。

BINDの脆弱性は2010年から2014年5月で29件報告されており、その中で重大度が高いとされるCVSS Score 7以上の脆弱性が11件含まれています。

様々な機器によるDDos攻撃への対策

その他の攻撃同様、様々な機器がDNS攻撃に対応してきています。
以下、簡単に整理します。

  • ロードバランサ
    • ロードバランサでは完全に遮断する方法よりも、レートリミットのように流量に制限を設ける方法が主流です。
    • 閾値による制限は実装も比較的容易で機器に対する負荷もある程度予測が可能なため、本来機器が有する性能耐性も維持できます。
    • 反面この方法は、閾値を超えるトラフィック(=攻撃)が、どこかの時点で収束することを期待しています。
      攻撃が想定以上に長期化した場合、当該箇所がインフラ全体のボトルネックとなってしまい、システム全体のサービス品質が大きく低下する場合があります。
    • 統計的な解釈によって処理を決定する機能の場合、トレンドとしては特異だけれども正常な通信(例えば大きなイベント等により発生した通信等)を 、誤認して制限してしまう可能性があります。
    • 断続的にバーストするようなパターンを持った攻撃に対しては対応できない可能性があります。
    • この手法は不正な形式のDNSトラフィックによる攻撃には対応出来ません。
  • DPI製品(Deep Packet Inspection Product)
    • メジャーな脆弱性や、ベーシックなレイヤ3-DDoSのような攻撃に効果があります。
      DNSプロトコルの固有の攻撃を正確に識別するためには、量を捌くための高い処理能力と、きめの細かいポリシー設定が必要です。
      通常、"複雑なポリシー"と"高い処理能力"はトレードオフの関係です。
      故に、桁違いな量で仕掛けてくるDDoSのような攻撃にはあまり適していません。
  • 一般的なDDoS Protection製品
    • DDoS攻撃を防御することを目的としている製品群で、幅広い範囲のDDoS攻撃へ対策が可能です。
    • 学習型のレートを利用したDDoS対策製品などもありソリューションも豊富です。
    • ただし、DNSベースの攻撃に特化して考えた場合には、DNSメーカとセキュリティメーカーとでの知見の差が出るかもしれません。
  • 特化型DNS Security Protection製品
    • DNSメーカ各社が現在最も注力している分野です。
    • DNSサービス自身を提供するのに加え、DNS攻撃にも対応した製品がラインナップされています。
      また、DNSを利用するマルウェアの通信を遮断することを目的とした機能を有する製品などもあります。
    • 既存DNSをDNS Security製品に置き換える必要があります。
    • BINDなどのオープンソースからの置き換える場合には、切替コストが課題になります。
  • クラウドベースのソリューション
    • クラウドベースのソリューションは、量的攻撃へ対応している反面、不正なDNSトラフィックによる攻撃(エクスプロイト、プロトコルアノマリ)やその他のタイプのDDoS攻撃にはまだ対応していない傾向があります。

まとめ

本稿ではDNS攻撃を体系的に整理して、DNSの攻撃を広く浅く理解することが目的でした。
"トレンド "というからには、定期的な更新をしていきたいと思います。

DNSへの攻撃に対して具体的な防御方法については本稿では説明できませんでしたが、BINDで運用されている方には以下のTipsを参考にしてください。

Terilogy HOME > momentum TOP > トピック:DNS攻撃のトレンド

デモ
momentum
オンラインデモ予約

「説明を聞きながら時間をかけずに理解したい」という方には、オンラインデモをご用意しています。日本全国どこでも、ご覧いただけますので、お気軽にお申込みください。

デモを予約する
デモ
momentum DNS viewer
今すぐ体験する

「自分で操作してみたい」という方には、セルフデモをご用意しています。今すぐDNS viewerを体験してください。

今すぐ体験する
資料請求
資料請求

momentumのカタログを
お届けします。

資料を請求する
テリロジーに相談
お問い合わせ

ご不明な点がありましたら、
お気軽にご連絡ください。
お急ぎの方は 03-3237-3291 へお電話ください。

ウェブからお問い合せ

トップへ