DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策はどれか。
ア | キャッシュサーバとコンテンツサーバに分離し、インターネット側からキャッシュサーバに問合せできないようにする。 |
イ | 問合せされたドメインに関する情報をWhoisデータベースで確認する。 |
ウ | 一つのDNSレコードに複数のサーバのIPアドレスを割り当て、サーバへのアクセスを振り分けて分散させるように設定する。 |
エ | 他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をデジタル署名で確認するように設定する。 |
答え ア
【解説】
DNS ampの対策方法としては、公開DNSサーバのキャッシュ機能を無効にして、自身に登録されているレコード情報だけを応答するように設定することです。
ただし、そうすると内部ユーザーがこのDNSサーバを使って名前解決ができなくなってしまうため、内部ユーザーが使うDNSサーバを別途用意し、そのDNSサーバは内部ネットワークからの要求だけに応えるようにアクセス制限を施すようにします。
【キーワード】
・DNS amp