システム構築

サーバー構築のデージーネットTOP > システム構築 > DNSサーバ構築 > DNSキャッシュサーバの水責め攻撃対策

構築事例:DNSキャッシュサーバの水責め攻撃対策

Open Smart Design

2014年の6月から7月にかけて、日本国内のISPで相次いでDNSキャッシュサーバの障害が発生しました。DNS水責め攻撃とよばれる攻撃が行われたためです。攻撃はその後も続き、ISPでは対策に追われました。本事例は、デージーネットがDNSキャッシュサーバにDNS水責め攻撃の対策を行ったものです。

導入企業業種
ISP(愛知県名古屋市)
ユーザー規模
40万人
利用OS
CentOS 6
導入月
2015年10月
お客様が悩まれていた課題
水責め攻撃によりDNSキャッシュサーバに障害が発生する
手動で対策を行っているが、非常に運用負荷が大きい
障害が発生すると緊急対処が必要になる

デージーネットが提案した「DNSキャッシュサーバの水責め攻撃対策」

解決ポイント

DNSのログから水責め攻撃を検出

2014年の6月から7月にかけて、日本国内のISPで相次いでDNSキャッシュサーバの障害が発生しました。DNS水責め攻撃とよばれる攻撃が行われたためです。攻撃はその後も続き、ISPでは対策に追われました。

このお客様のシステムでも何度も障害が発生し、システム管理者は緊急対応に追われました。デージーネットでは、対策の自動化を提案しました。

DNSログを解析し、攻撃の発生を検知

この顧客では、DNSキャッシュサーバとしてunboundを利用していました。unboundでは、unbound-reqmonというソフトウェアを使うことで、DNSの名前解決リクエストのログを保管することができます。この機能を使って、ログを取得し、それを解析することにしました。

DNS水責め攻撃では、特定のドメインに対して、存在しないアドレスやサブドメインを付けた問い合わせが多数行われるという特徴があります。一定時間内に、DNSクエリがエラーになった回数をドメイン毎に算出し、一定以上の回数に達したものを攻撃と認知するソフトウェアを開発しました。

自動的に対策を実施

攻撃と認知した場合には、該当のドメインに対する問い合わせには応答をしないようにDNSキャッシュサーバに設定を行います。unboundでは、unbound-controlというコマンドを使って、サービスを停止することなく設定を行うことができます。この処理を自動的に行うソフトウェアを開発し、導入しました。

原因となったホームルータを特定

また、攻撃と認知した場合には、その問い合わせを行ったクライアントを特定できるようにしました。これらは、多くの場合にはISPの利用者が使っている古いルータやホームサーバです。クライアントを特定し、利用者にファームウェアのアップグレードや、新しい機器への取り替えをお願いすることができるようになりました。

導入後の結果

水責め攻撃の対策が自動的に行えるようになり、DNSキャッシュサーバが障害で停止することもなくなりました。そのため、運用がとても楽になり、安心できるようになったと評価を頂いています。また、問題の発生元となった古いルータやホームサーバを見つけ、利用者に連絡をしていくことで、徐々に問題の発生源が減りました。結果的に、水責め攻撃そのものも減らすことができました。




DNSキャッシュサーバの水責め攻撃対策の関連ページ

DNSサーバ構築の事例一覧

様々な事例を集めたモデルプラン(費用例付き)をお送りしています。

代表的な事例を集めた「モデルプラン」をお送りしています。費用の例も記載しておりますので、価格感も知って頂ける資料となっております。
ご希望の方は、下記よりお申し込みください。

モデルプランをご希望の方

DNSキャッシュサーバの水責め攻撃対策の先頭へ