2014年の秋ごろ、仕事中にインターネットでWebサイトを閲覧できなくなって数分後に回復するということが何度もありました。メッセージを見ていると、DNSサーバが見つからない様子だったので、プロバイダのDNSが故障していてなかなか本格対処ができないでいるのかな、とか思っていたのですが、どうやらDDoS攻撃に会っていたようです。DDoS攻撃はどんなサーバでも受けるのですが、DNSサーバはDNSならではの弱点を突かれてダウンしやすいのです。
DNSは、インターネット初期から使われているプロトコルの例にもれず非常にシンプルで防御力の弱いプロトコルです。なぜそんな仕様になっているかと言えば、インターネットが商用利用されていなかった時代は、回線が遅いのでなるべく通信量を減らす必要があったためと、利用者は身元の確かな人だけだったのでそのような攻撃を受ける心配をする必要がなかったためです。
これが改善されないのは、DNSは、インターネットの基幹として使われており、影響が大きすぎて簡単にバージョンアップができないからです。
具体的にDNSでどのような攻撃が行われていたか説明します。
まず、攻撃を行うために、ボットを使います。ボットはマルウェア(一種のウィルスのようなもの)に感染したPCからオープンリゾルバ(フリーで使えるDNSサーバと考えてください。)に対して、存在しないドメインの名前解決を依頼します。
受けとったオープンリゾルバは、当然、そのドメインの情報を持っていないので、権威サーバと呼ばれる上位のサーバに問い合わせをします。
多くの感染PCからこの問合せを行うことで、多くのオープンリゾルバが権威サーバへ問合せを行うので、権威サーバが過負荷状態となって動作が停止します。
知らないドメインに関する名前解決を依頼されると、上位のサーバへ問い合わせると言いうDNSの特性を利用した攻撃ですね。
プロトコルの仕様を変更することは困難なので、オープンリゾルバ側での適切な対処が求められます。
ちなみに家庭用のブロードバンドルータがオープンリゾルバになっている場合があるので、知らず知らずのうちに自分も攻撃側に利用されてしまっている可能性があります。恐ろしい話ですが。
この件に関する詳しい情報は下記リンクから。
https://www.nic.ad.jp/ja/dns/openresolver/
自分のPCに設定されているDNSサーバがオープンリゾルバなのかどうか確認できるサイトもあります。