DNS キャッシュ スプーフィングと DNS キャッシュ ポイズニングについて学ぶ

DNS はDomain Name System の略で、ブラウザがWeb サイトのIP アドレスを見つけてコンピュータにロードできるようにするのに役立ちます。 DNS キャッシュは、頻繁に使用される Web サイトの IP アドレスのリストを含む、ISP またはコンピュータ上のファイルです。この記事では、DNS キャッシュ ポイズニングと DNS キャッシュ スプーフィングについて説明します。

• IPアドレスとは何ですか?

DNSキャッシュの汚染

ユーザーがブラウザに Web サイトの URL を入力するたびに、ブラウザはローカル ファイル (DNS キャッシュ) にアクセスして、Web サイトの IP アドレスに類似したエントリがあるかどうかを確認します。ブラウザが Web サイトに接続するには、Web サイトの IP アドレスが必要です。 URL を使用して Web サイトに直接接続することはできません。適切なIPv4またはIPv6 IP アドレスに接続する必要があります。レコードが存在する場合、Web ブラウザはそれを使用します。それ以外の場合は、 DNS サーバーにアクセスしてIP アドレスを取得します。これは DNS ルックアップと呼ばれます。

DNS キャッシュはコンピュータまたは ISP DNS サーバー上に作成されるため、URL の DNS へのクエリにかかる時間が短縮されます。基本的に、DNS キャッシュは、コンピューターまたはネットワークで一般的に使用されるさまざまな Web サイトの IP アドレスを含む小さなファイルです。ネットワーク上のコンピュータは、DNS サーバーに接続する前に、ローカル サーバーに接続して、DNS キャッシュにエントリがあるかどうかを確認します。そうであれば、コンピュータはそれを使用します。それ以外の場合、サーバーは DNS サーバーに接続して、その IP アドレスを取得します。次に、Web サイトの最新の IP アドレスでローカル DNS キャッシュを更新します。

DNS キャッシュ内の各エントリには、オペレーティング システムと DNS 解決の精度に応じて時間が制限されます。有効期限が切れると、DNS キャッシュを含むコンピュータまたはサーバーは DNS サーバーに接続し、情報が正しくなるようにエントリを更新します。

ただし、悪意のある目的で DNS キャッシュを汚染しようとする人もいます。

キャッシュポイズニングとは、 URL の実際の値を変更することを意味します。たとえば、サイバー犯罪者は xyz.com に似た Web サイトを作成し、その DNS レコードを DNS キャッシュにインポートすることができます。したがって、ブラウザのアドレス バーに「xyz.com」と入力すると、2 番目のブラウザが偽の Web サイトの IP アドレスを取得し、本物の Web サイトではなく、そこに移動します。これをファーミングと呼びます。この方法を使用すると、サイバー犯罪者はあなたのログイン資格情報や、カードの詳細、社会保障番号、電話番号などの他の多くの情報を検出してデータを盗むことができます。 DNS キャッシュ ポイズニングは、コンピューターまたはネットワークにマルウェアを導入するためにも行われます。 DNS キャッシュが感染した偽の Web サイトにアクセスすると、犯罪者はやりたい放題になります。

場合によっては、犯罪者はローカル キャッシュの代わりに偽の DNS サーバーをセットアップして、クエリが行われたときに偽の IP アドレスを発行できるようにすることもあります。これは高レベルの DNS ポイズニングであり、特定のリージョン内のほとんどの DNS キャッシュが破損するため、より多くのユーザーに影響を与えます。

DNSキャッシュスプーフィング

DNS スプーフィングは、偽の情報を提示するために DNS サーバーの応答になりすます攻撃の一種です。スプーフィング攻撃では、ハッカーは、DNS クライアントまたはサーバーが DNS クエリを送信し、DNS 応答を待っていると推測しようとします。スプーフィング攻撃が成功すると、偽の DNS 応答が DNS サーバー キャッシュに挿入されます。このプロセスはキャッシュ ポイズニングと呼ばれます。不正な DNS サーバーには、DNS データが本物であることを確認する方法がなく、なりすましの情報を使用してキャッシュから応答します。

DNS キャッシュ スプーフィングは DNS キャッシュ ポイズニングに似ているように見えますが、若干の違いがあります。 DNS キャッシュ スプーフィングは、DNS キャッシュを汚染するために使用される一連の方法です。これは、DNS キャッシュを変更および制御するために、コンピュータ ネットワーク サーバーに強制的にアクセスされる可能性があります。これにより、クエリが行われたときに偽の応答を送信するように偽の DNS サーバーをセットアップできます。 DNS キャッシュを汚染する方法は数多くありますが、一般的な方法の 1 つは DNS キャッシュ スプーフィングです。

DNSキャッシュポイズニングを防ぐための対策

DNS キャッシュ ポイズニングを防ぐ方法はそれほど多くありません。最善のアプローチは、攻撃者がネットワークを侵害してローカル DNS キャッシュに影響を与えられないように、セキュリティ システムをスケールアップすることです。適切なファイアウォールを使用すると、DNS キャッシュ ポイズニング攻撃を検出できます。 DNS キャッシュを定期的にクリアすることも検討できるオプションです。

管理者は、セキュリティ システムの拡張に加えて、ハードウェアとソフトウェアを更新して、既存のシステムを安全に保つ必要があります。オペレーティング システムは最新のアップデートでバグを修正する必要があり、サードパーティのアウトバウンド リンクを持たないようにする必要があります。サーバーはネットワークとインターネット間の唯一のインターフェイスである必要があり、適切なファイアウォールで保護されている必要があります。

• 中小企業向けのファイアウォール ソリューション

ネットワーク内のサーバーの信頼関係は、他のサーバーにDNS 解決を要求しないように、より高いレベルに設定する必要があります。そうすることで、本物の証明書を持つサーバーのみが、DNS サーバーを解決しながらネットワーク サーバーと通信できます。

DNS レコードがより頻繁にフェッチされて更新されるように、DNS キャッシュ内の各エントリの時間間隔は短くする必要があります。これにより、Web サイトに接続する間隔が長くなる可能性もありますが (たまにのみ)、汚染されたキャッシュを使用するリスクは軽減されます。

Windows システムでは、 DNS キャッシュ ロックを90% 以上に設定する必要があります。Windows Serverのキャッシュ ロックを使用すると、DNS キャッシュ内の情報を上書きするかどうかを制御できます。

DNS ソケット プールを使用すると、DNS サーバーが DNS クエリを発行するときに送信元ポートをランダムに使用できるようになります。これにより、キャッシュ ポイズニング攻撃に対するセキュリティが強化されます (TechNet による)。

ドメイン ネーム システム セキュリティ拡張機能 (DNSSEC) - ドメイン ネーム システム セキュリティ拡張機能 - は、DNS プロトコルに追加のセキュリティを追加する Windows Server の拡張機能のセットです。

続きを見る：

• Man in the Middle 攻撃 - セッション ハイジャックについて学ぶ
• DNS ハイジャックとそれを防ぐ方法について学びましょう。
• 中間者攻撃について学ぶ - ARP キャッシュ スプーフィング