[ 通常表示 ]  [ 簡易表示 ]  [ シンプル表示 ]

「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典イメージぴよ画像「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典

DNSリフレクター攻撃

pointこの用語のポイント

pointDNSサーバを利用した悪いことだよ

pointDNSサーバからの返事をおまえに集めてテンパらせてやるぜ攻撃だよ

スポンサーリンク

簡単に書くよ

DNSリフレクター攻撃とは

「DNS Amp攻撃」のこと。
つまり

DNSサーバさんからのお返事をおまえに集めちゃるぜ攻撃のこと
であり

身元を詐称してDNSサーバさんに問い合わせを行い、詐称した相手に対してお返事させることで、詐称した相手を忙しくさせる嫌がらせ
です。

image piyo

詳しく書くよ

まず最初に、このページの説明は「DNS Amp攻撃」の説明とほとんど同じです。
既に「DNS Amp攻撃」の説明をご覧になった方は、ここから先を読んでも意味は無いと思います。

次に「DNS」「DNSサーバ」「フルサービスリゾルバ」の意味が分からない方は、恐らくここから先を読むのはまだ早いです。
先に「DNS」「DNSサーバ」「フルサービスリゾルバ」の意味をお勉強してきてください。

……(--)

準備OKでしょうか?
それではDNSリフレクター攻撃の説明を始めます。

DNSサーバさんはお問い合わせに答えるのがお仕事です。
「このドメイン名に対応するIPアドレスは何?」「このIPアドレスに対応するドメイン名は何?」という問い合わせに対して、えっちらおっちら調べて回答しています。

DNSリフレクター攻撃

このときの回答先は、当然、問い合わせてきた人になります。
ただし、この問い合わせてきた人が誰かについては、自己申告制です。

実際には「僕はピヨ太です。ドメイン名『i-3-i.info』に対応するIPアドレスを教えてください」のような形で問い合わせが行われています。
より正確に書くと「自分のIPアドレスは『198.51.100.2』です。ドメイン名『i-3-i.info』に対応するIPアドレスを教えてください」ですけどね。

DNSリフレクター攻撃2

このとき、回答するDNSサーバさんはピヨ太君を名乗る人物が本当にピヨ太君かは確認しません。
自己申告を信じてピヨ太君に回答をします。

DNSリフレクター攻撃3

ということはですよ。
悪い人がピヨ太君の振りをして問い合わせを行った場合でも、その回答はピヨ太君に行きます。

DNSリフレクター攻撃4

その数が増えたらどうでしょう?
悪い人がいろんなDNSサーバさんに対して「僕はピヨ太です。ドメイン名『i-3-i.info』に対応するIPアドレスを教えてください」と問い合わせした場合です。

DNSリフレクター攻撃5

そうですね。
ピヨ太君はただボーっとしているだけなのに、いろんなDNSサーバさんから回答が来きます。
相手をするのも大変でしょう。

DNSリフレクター攻撃6

このような嫌がらせのやり方が「DNSリフレクター攻撃」です。
悪い人があれこれすることによって、DNSサーバさんからの回答を嫌がらせ相手に集めちゃう攻撃です。

自分からの問い合わせをDNSサーバさんに当てて、嫌がらせ相手に対して反射していますよね。
だから「リフレクター(反射板)」です。

DNSリフレクター攻撃7

ちなみに、DNSリフレクター攻撃は「DNS Amp攻撃」とも呼ばれています。
「Amp」は「amplify(増幅)」の略です。何を増幅するのかは後述します。

DNSリフレクター攻撃(DNS Amp攻撃)はDNSサーバさんに問い合わせをして、その回答を嫌がらせ相手に送らせる攻撃です。
地味な攻撃ですが、この攻撃にはとてつもない攻撃力が秘められているのです。

例えば、普段のDNSサーバさんは量が1のお問い合わせに対して1のお返事をくれるとします。
ミカンを1個送ると、ミカンが1個返ってくるとお考えください。

DNSリフレクター攻撃8

これをごにょごにょして、量が1のお問い合わせに対して10のお返事をくれるようにしておきます。
ミカンを1個送ると、10個返ってくるようにしておくのです。

DNSリフレクター攻撃9

この状態で攻撃をしてみましょう。

アクマ君はピヨ太君の振りをして、ミカンを10個、DNSサーバさんに送ってやりました。

DNSリフレクター攻撃10

そうするとピヨ太君には、100個のミカンが届きます。
DNSサーバさんはミカンを1個送ると10個返してくれますからね。10個送れば100個返してくれるのです。

DNSリフレクター攻撃11

アクマ君がピヨ太君に直接ミカンをぶつけた場合は、ピヨ太君に届くミカンは10個です。大したことありません。

DNSリフレクター攻撃12

しかし、DNSサーバさんを経由することによって、ピヨ太君の元に届くミカンが10倍に増幅されてしまうのです。

DNSリフレクター攻撃13

ミカンだったら嬉しいかもしれませんが、ゴミだったら迷惑この上ないですよね。
お掃除している間に疲れちゃいます。倒れてしまうかもしれません。

これが「DNS Amp(amplify=増幅)攻撃」と呼ばれている理由です。
嫌がらせデータを直接送り付けるよりも、たくさん嫌がらせできるのです。

あんまり具体的なやり方を書くと怒られちゃうかもしれないので、これ位にしておきますね。

image piyo2

一言でまとめるよ

まぁ「DNSリフレクター攻撃」って単語が出てきたら「DNSサーバさんからのお返事をおまえに集めちゃるぜ攻撃なんだな~」と、お考えください。

一番上に戻るよ
スポンサーリンク