DNS水責め攻撃対策の基本。権威DNSを守るために見直したいポイント

DNS水責め攻撃対策は、DNSを狙うDDoS対策の中でも見落とせないテーマです。
この攻撃は、実在するドメインに対して、存在しないランダムなサブドメインへの問い合わせを大量に発生させることで、権威DNSサーバーへ負荷を集中させる手法として知られています。
Akamaiは、これをpseudo-random subdomain attack、またはwater torture attackと説明しています。
JPRSも、DNS水責め攻撃は多数の端末やDNSリゾルバーを経由して権威DNSへの問い合わせを集中させる攻撃として解説しています。

この攻撃が厄介なのは、DNSリフレクション攻撃のように大きな応答で帯域を増幅させることが中心ではない点です。
ISCは、この攻撃の特徴として、存在するドメインに対して存在しない名前を連続して問い合わせることを挙げています。
Akamaiも、存在しないランダムなサブドメインへの問い合わせがNXDOMAIN応答を引き起こし、権威DNSや周辺機器のリソースを消費させると説明しています。
そのため、DNS水責め攻撃対策では、単に回線を太くするだけでなく、権威DNSへ届く大量のユニーククエリをどう抑えるかが重要になります。

この記事では、DNS水責め攻撃の仕組みから、優先したい対策、運用時の注意点までを順に整理します。
DNSアンプ攻撃との違いも踏まえながら、どこを見直せばよいのかがわかる形でまとめます。

DNS水責め攻撃とは何か

存在しないサブドメインへの大量問い合わせで権威DNSへ負荷を集める攻撃

DNS水責め攻撃とは、存在するドメインの配下に対して、存在しないランダムなサブドメインへの問い合わせを大量に送り、権威DNSサーバーへ継続的な負荷をかける攻撃です。
ISCは、この攻撃のシグネチャとして、存在するドメインに対して存在しない名前を連続的に問い合わせること、しかも問い合わせ名が毎回異なるためキャッシュが効きにくいことを示しています。
Akamaiも、何千もの一見正当に見えるDNSリクエストがDNSネームサーバーへ送られると説明しています。

ここで押さえたいのは、この攻撃が単純な大量通信とは少し違うことです。
同じ名前を何度も引くのであれば、再帰DNSのキャッシュが効いて権威DNSまで届きにくくなります。
ところが、水責め攻撃では問い合わせ名が毎回変わるため、キャッシュの恩恵を受けにくくなります。
その結果、権威DNSは都度応答処理を求められ、DNS処理能力やサーバー資源、周辺ネットワーク資源が消費されやすくなります。

DNSアンプ攻撃とは攻撃の軸が異なる

DNSを使ったDDoSというと、DNSアンプ攻撃を思い浮かべることも多いです。
ただ、DNS水責め攻撃は、アンプ攻撃と同じ考え方で捉えると対策の軸がずれやすくなります。
JPRSは、ランダムサブドメイン攻撃について、フルサービスリゾルバーのキャッシュ機能を無効化し、権威DNSへの問い合わせを集中させる手法だと説明しています。
Akamaiも、water torture attackは大量の正規に見える問い合わせで権威DNSを疲弊させる攻撃だとしています。

つまり、DNSアンプ攻撃が大きな応答で帯域を膨らませることに重きがあるのに対し、DNS水責め攻撃は、キャッシュされにくい問い合わせを大量に流すことで、権威DNSへ処理負荷を集める点に特徴があります。
DNS水責め攻撃で重要なのは、回線の太さだけではなく、権威DNSへ届くユニーククエリの量をどう抑えるかです。

DNS水責め攻撃対策で優先したい基本施策

権威DNSへ届く不要な問い合わせを減らす仕組みを整える

DNS水責め攻撃対策でまず重視したいのが、権威DNSへそのまま大量の問い合わせが届く状態を減らすことです。
Akamaiは、この攻撃がランダムなサブドメインへの問い合わせを大量発生させ、権威DNSや周辺機器のリソースを消費させると説明しています。
そのため、単純に帯域を増やすだけでは足りず、問い合わせを手前で吸収したり、分散したりする仕組みが必要になります。

権威DNSを単一拠点に集約している。
外部からの問い合わせをそのまま原点のサーバーで受けている。
こうした構成では、ランダムな名前への大量問い合わせが集中したときに影響を受けやすくなります。
そのため、Anycastの活用やDNS保護サービスの利用など、問い合わせを複数拠点へ分散し、一拠点への集中を防ぐ構成を検討することが現実的です。
Akamaiも、NXDOMAIN系の攻撃に対しては、エッジ側で不正な問い合わせを落としつつ、正当な問い合わせにはキャッシュ応答を返せる保護基盤が有効だと説明しています。

キャッシュが効きにくい前提で否定応答の扱いを見直す

DNS水責め攻撃では、通常のキャッシュが効きにくいという前提を忘れないことが重要です。
ISCは、この攻撃の特徴として、存在するドメインに対して存在しない名前を連続的に問い合わせることを挙げています。
JPRSも、ランダムサブドメインによってキャッシュ機能が無効化されると説明しています。

こうした特性があるため、平常時のアクセス量だけを基準にすると、攻撃時の負荷を軽く見積もってしまいやすくなります。
そこで見直したいのが、存在しない名前への応答処理をどれだけ効率化できるかという点です。
JPRSは、DNSSECで検証済みの情報を積極的にキャッシュ利用するRFC8198を、水責め攻撃による問い合わせ削減策の一つとして紹介しています。
存在しない名前への応答を再帰DNS側で効率よく処理できるようにしておくことは、権威DNSへ届く問い合わせを減らすうえで意味があります。

再帰DNS側で異常な問い合わせを抑える

DNS水責め攻撃対策は、権威DNS側だけで完結するわけではありません。
ISCは、再帰DNSを保護する仕組みとしてBIND 9のRecursive Client Rate Limitingを紹介しています。
JPRSの解説でも、攻撃対象の権威DNSサーバーだけでなく、オープンリゾルバーやフルリゾルバーにも大量の問い合わせが届く仕組みが示されています。

そのため、自組織で再帰DNSを運用している場合は、再帰側の設定も確認が必要です。
特定のクライアントや特定のゾーンに対して、不自然な頻度で問い合わせが集中したときに抑制できるか。
外向きの問い合わせを無制限に中継していないか。
こうした点を見直すことで、権威DNSへ流れ込む負荷を減らしやすくなります。
水責め攻撃対策では、権威DNSだけではなく、名前解決の経路全体で考える視点が欠かせません。

権威DNSを複数拠点や複数系統で冗長化する

DNS水責め攻撃対策では、単一の権威DNSへ負荷が集中しないようにすることも大切です。
Akamaiは、NXDOMAIN攻撃のようなDNSリソース枯渇型攻撃に対して、エッジ側のグローバル基盤で問い合わせを処理・分散する考え方を示しています。
このことからも、権威DNSを単一サーバーや単一拠点に依存したままでは、攻撃時の影響を受けやすいとわかります。

権威DNSを複数ロケーションに分ける。
別系統のネットワークや事業者を併用する。
平常時から応答性能と負荷分散を確認しておく。
こうした構成にしておくと、単発の障害や攻撃で全体が止まりにくくなります。
攻撃を完全になくすことだけを目指すのではなく、負荷が来てもサービス全体が落ちにくい構成を整えることが重要です。
DNS水責め攻撃対策では、止めることだけでなく、止まりにくい構成を作ることも大きな意味を持ちます。

DNS水責め攻撃対策を進めるときの注意点

DNSアンプ攻撃と同じ感覚で考えない

DNS水責め攻撃対策でまず気をつけたいのは、DNSアンプ攻撃やリフレクション攻撃と同じ感覚で進めないことです。
JPRSは、ランダムなサブドメインを付加することでフルサービスリゾルバーのキャッシュ機能を無効化し、権威DNSへの問い合わせを集中させる手法だと説明しています。
Akamaiも、ランダムな名前への問い合わせが大量に送られ、権威DNSや周辺機器のリソースを消費すると案内しています。

つまり、この攻撃は大きな応答で帯域を膨らませることが中心ではありません。
キャッシュされにくいユニーククエリを大量発生させることで、権威DNSへ処理負荷を集めるところに特徴があります。
そのため、単純な帯域増強だけで十分だとは言えず、権威DNSに届く問い合わせの質と量をどう扱うかまで考える必要があります。

権威DNSだけ見て終わらせない

DNS水責め攻撃対策では、攻撃対象になりやすい権威DNSだけを見て終わらせないことも重要です。
JPRSの解説では、この攻撃では攻撃対象の権威DNSサーバーだけでなく、オープンリゾルバーやフルリゾルバーにも大量の問い合わせが届く仕組みが示されています。
ISCも、BIND 9のRecursive Client Rate Limitingを、水責め攻撃のような問い合わせ集中への手段として説明しています。

そのため、自組織で再帰DNSを運用しているなら、権威DNSだけ守れば十分とは言えません。
再帰DNS側で異常な問い合わせを抑えられるか。
権威DNSへ過剰な再帰問い合わせが流れ込まないか。
こうした経路全体を見ないと、片側だけの対策で終わりやすくなります。
権威側と再帰側を分けて考えつつ、全体の流れで見ることが大切です。

一度対策して終わりにしない

DNS水責め攻撃対策は、一回設定を見直して終わりというものではありません。
JPRSは、fetches-per-zoneやfetches-per-serverのような機能、DDoS対策機器やロードバランサー側の対策が実施されていると紹介しつつ、これらは攻撃発生後の事後対策になりやすく、対象ドメイン自体へのDoSが成立する点には注意が必要だとしています。

このことからも、対策は入れたら終わりではありません。
権威DNSの構成が変わる。
新しいドメインを収容する。
再帰DNSの設定が変わる。
保護サービスやロードバランサーの設計を見直す。
こうした変化があるたびに、攻撃耐性も変わります。
そのため、運用と構成の変化に合わせて継続的に見直すことが重要です。

まとめ

DNS水責め攻撃対策は権威DNSへ届くユニーククエリをどう抑えるかが重要

DNS水責め攻撃は、実在するドメインに対して、存在しないランダムなサブドメインへの問い合わせを大量に送りつけることで、権威DNSサーバーへ負荷を集中させる攻撃です。
Akamaiは、これをpseudo-random subdomain attackまたはwater torture attackと説明しています。
JPRSも、ランダムサブドメインを付加することでフルサービスリゾルバーのキャッシュ機能を無効化し、権威DNSへの問い合わせを集中させる攻撃だと説明しています。
つまり、DNS水責め攻撃の本質は、帯域増幅よりも、キャッシュを回避するユニーククエリを大量発生させ、主に権威DNSへ処理負荷を集中させ、経路上の再帰DNSにも負荷を与えることにあります。

そのため、対策としては単に帯域を増やすだけでは足りません。
権威DNSへ届く不要な問い合わせを減らすこと。
否定応答を効率化すること。
再帰DNS側で異常な問い合わせを抑えること。
複数拠点や保護基盤で負荷を分散すること。
こうした対策を組み合わせて考える必要があります。

また、この攻撃は権威DNSだけ見ていても対策しきれません。
再帰DNSや周辺構成まで含めて見直すことが重要です。
さらに、通常のキャッシュ前提で負荷を見積もると実態を見誤りやすいため、攻撃時の問い合わせの質まで意識した運用が求められます。

DNS水責め攻撃対策で本当に重要なのは、DNSアンプ攻撃と同じ発想で考えないことです。
大きな応答を返さないようにするだけでは十分ではありません。
権威DNSへ届く大量のユニーククエリをどう減らすかを考えることです。
そして、権威DNSだけでなく再帰DNSや周辺構成も含めて、継続的に見直すことです。
そうした積み重ねが、現実的で効果のあるDNS水責め攻撃対策につながります。