NXNSAttackとは何ですか?
NoneXistentネームサーバー攻撃(NXNSAttack)は、DNSシステムを麻痺させ、インターネットリソースへのアクセスを不可能にします。この新しい攻撃について知っておくべきことは以下の通りです。
ドメインネームシステム (DNS)は、ドメイン名、例えばpaloaltonetworks.comをIPアドレス、この場合は199.167.52.137に変換するプロトコルです。DNSがなければ、私たちはIPアドレスの文字列を記憶しなければならないでしょう。しかし、DNSも近年、多くの脆弱性やサイバー攻撃に悩まされています。NoneXistentネームサーバー攻撃(NXNSAttack)と呼ばれる新しい攻撃の1つは、学者グループによって最初に公開された脆弱性を悪用するものです。
関連動画
攻撃者がDNSを使用してデータを盗む方法
NXNSAttackは、DNS解決(または「DNSルックアップ」)プロセスの一部である再帰DNSリゾルバに影響を与えます。DNSリゾルバはエンドユーザーのDNSクエリを権威ネームサーバーに渡し、権威ネームサーバーはIP文字列をDNSリゾルバに返し、最終的にエンドユーザーに返します。DNSプロトコルには、権威サーバーが代替サーバーにDNSルックアップを委譲できる安全メカニズムが組み込まれています。これがNXNSAttackが悪用するメカニズムです。
以下、攻撃の手順を簡単に説明します。
攻撃者は、attack[.]comのようなドメインのDNSリゾルバにDNSクエリ(またはボットの助けを借りて複数のDNSクエリ)を送信します。
クエリを解決する権限を持たないDNSリゾルバは、攻撃者が所有または侵害する権威サーバにクエリを転送します。権威あるサーバーを大量に所有することは難しいことではありません。攻撃者がドメイン(この例ではattack[.]com)を登録すると、インターネット上の権威あるサーバーと関連付けることができます。
侵害された権威サーバーは、再帰DNSリゾルバに、ルックアップ要求を代替サーバーの大規模なリストに委譲すると返信します。このリストには、被害者ウェブサイトの何千ものサブドメインが含まれている可能性があります。
DNSリゾルバはDNSクエリをすべてのサブドメインに転送し、被害者の権威サーバーのトラフィックを急増させます。大量のトラフィックは、被害者のDNSリゾルバをクラッシュさせる可能性があります。
企業のDNSリゾルバがクラッシュすると、ユーザーからのリクエストに応答しなくなります。ウェブサイト、eコマース、ビデオチャット、サポート、その他のウェブサービスはご利用いただけません。
攻撃者がDNSサーバーに殺到するのを防ぐパッチがリリースされました。したがって、NXNSAttackに対する防御策の1つは、DNSリゾルバのソフトウェアを常に最新バージョンにアップデートしておくことです。
NXNSAttacksの詳細については、 https://www.paloaltonetworks.jp/network-security/dns-security。
