DNS攻撃者は、DNSプロトコルの挙動を利用してより強力な攻撃を仕掛けてきます。このセクションでは、DNS攻撃を緩和(Mitigation)してDNSサービスを保護するために満たすべき課題について説明します。
<DNSトラフィックの挙動についての深い知識>
DNS攻撃者は、DNSプロトコルの挙動を利用し、ランダムサブドメイン攻撃のような強力な攻撃を行うことができます。これらの攻撃は、DNSサービスに大きな損害を与える可能性があります。緩和ツール(Mitigation Tool)を利用して、このような攻撃を緩和し、DNSサービスを保護するためには、DNSプロトコルの深い知識と、DNSトラフィックの挙動に関する深い理解により、DNSプロトコルの各フィールドの分析が必要になります。
<早期かつ正確な検知>
多くの不審なDNS Activityの兆候は、DNSエラーレスポンス(例えばNXDomain攻撃)を受信したときに初めて明らかになることがよくあります。DNSエラーレスポンスに基づくDNS攻撃検出は、DNSサーバにとっては手遅れで、DNSサーバのリソースが枯渇している可能性があります。DNSサービスのDDoS対策では、受信するクエリを基にDNS攻撃の早期かつ正確な検知が重要です。
<サービス基盤のセキュリティ強化>
DNSセキュリティの強化も重要な課題です。サイバーキルチェーンではDNSの関与率が高いことが知られており、高度なDNSセキュリティを実装した製品を導入し、セキュリティ対策を講じることも重要な課題となります。
<正確なミティゲーション>
正規のDNSクエリと、攻撃を掛けるDNSクエリの区別がつかないと、誤検出の原因となります。誤検出がインターネットサービスに与える影響は評判の低下や損失など重大な影響を及ぼします。そのため今日のミティゲーションツールは、正確でなければならず、特にインターネットサービスプロバイダは攻撃を受けている最中でも、正規ユーザにDNSサービスを提供できるようにする必要があります。
<高レートのDNS攻撃パケットの緩和>
DNS DDoS攻撃では、大量のフラッドパケットが高速で送信されます。すべての攻撃パケットをブロックするには、大量のトラフィックを処理しながら、正当なDNSトラフィックを処理する十分な帯域幅を持った保護ソリューションが必要です。
高いミティゲーション能力を実現するためには、ミティゲーションツールがステートレ スでなければならず、つまりDNSセッションの状態を一切保持しないようにする必要があります。
<攻撃防御中のエクスペリエンス提供>
ミティゲーションの精度に加えて、攻撃を受けている間も最高のエクスペリエンスを提供することが求められるため、ミティゲーションツールには低レイテンシであることが要求されます。また、ソフトウェアのみをベースとしたデバイスではなく、ハードウェアのエンジンとアクセラレータをベースとしたデバイスであることが必要です。
<DNS DDoS攻撃 その他の記事>