JT4-12 DNSアンプ攻撃対策に向けた 複数経路DNSアクセス技術の検証 発表者:竹内 晶彦 (1BJT1105) 指導教員: 村山 純一 教授 1 はじめに ◎研究の背景 ・ インターネット上でDNSアンプ攻撃(DDoS攻撃)が活性化 ・ 対策として、不正なDNSパケットをプロバイダ間ルータで遮断 ・ 正規のDNSパケットも巻き添えになることが問題点 ※サービス妨害に協力してしまうことになるため ◎研究の目的 ・ DNSアンプ攻撃対策として、プロバイダ間ルータにおいて、 - 不正なDNSパケットを遮断 (簡単!) - 正規のDNSパケットを疎通 (困難!) 2 従来方式:DNSアンプ攻撃パケットの遮断 ①キャッシュDNSサーバへの不正問い合わせ ②権威DNSサーバへの問い合わせ プロバイダ プロバイダ プロバイダ 権威 DNSサーバ 攻撃 ホスト キャッシュ DNSサーバ キャッシュ DNSサーバ ③権威DNSサーバからの回答 X 標的 サーバ X 一般 ホスト ④一般ホストへの不正回答 ⇒攻撃パケットの遮断 (ファイアーウォール動作) 3! 従来方式の問題点:正規パケットの遮断 ①キャッシュDNSサーバへの正規問い合わせ ②権威DNSサーバへの正規問い合わせ プロバイダ プロバイダ プロバイダ 権威 DNSサーバ 攻撃 ホスト ③権威DNSサーバからの 正規回答 キャッシュ DNSサーバ 一般 ホスト キャッシュ DNSサーバ X ④一般ホストへの正規回答 ⇒攻撃パケットと誤認識して遮断 4! 正規パケット疎通方式の提案 プロバイダ間ルータ同士をSPI動作で連携 ⇒異なる経路からの要求パケットに対応する応答パケットを疎通 プロバイダ 権威 DNSサーバ 攻撃 ホスト プロバイダ プロバイダ キャッシュ DNSサーバ キャッシュ DNSサーバ 標的 サーバ 一般 ホスト O 5! 提案技術のプロトタイプ実装と検証 第一ステップとして、DNSパケットの転送経路を 1つのファイアウォールを経由するように設定 プロバイダ 権威 DNSサーバ 攻撃 ホスト プロバイダ キャッシュ DNSサーバ プロバイダ 標的サーバ O 一般 ホスト このファイアウォールでSPI動作 ⇒要求パケットに応じた応答パケットを疎通 6! 参考:実験環境 機能 実装 ルータ Ubuntu14.04 ファイア ウォール Ruby1.9.3 (SPI機能) DNS Bind9.8.4 7 結論 ・ 正規DNSパケットの一部は、プロバイダ間を複雑な経路で転送 - 従来のDNSアンプ攻撃対策では、これを遮断 - 提案のDNSアンプ攻撃対策では、これを疎通 ・ ルータ間連携SPI - あるルータ経由でDNS要求パケットを転送 - 別のルータ経由でDNS応答パケットを転送 - ルータ間でSPI情報を共有することで連携を実現 ・ プロトタイプ検証 - DNSパケットのみ1つのルータ経由となるよう経路制御 - このルータで集中的にSPI処理 ⇒複数ルータ間による直接的な連携が将来的な課題 8
© Copyright 2024 ExpyDoc
