DNSサーバに対する攻撃　

DNSを利用した攻撃方法としては以下のものがある。
① ゾーン転送要求による登録条件の収集
② DNSキャッシュポイズニング
③ 不正なリクエストによりサービス不能状態を引き起こす
④ DNS増幅反射攻撃
⑤ DNS水攻め攻撃（ランダムサブドメイン攻撃）
⑥ DNSトンネリング

問題１
①はDNSサーバのプライマリとセカンダリにおいて同じ情報を保持するための同期をとるためのゾーン転送への攻撃である。 攻撃者はどのような攻撃を行い、どのような情報を取得するか。 また、それを防止するためにはDNSサーバ側でどのような対策が有効か。

回答
攻撃者はプライマリに対してゾーン転送（53/TCP）を行い、DNSサーバプライマリがゾーン転送要求に対して無条件に応答を返してしまう。こうして、ターゲットサイトのネットワーク構成やサーバの攻勢を知ることができる。

問題2
②は正規のDNSサーバが応答を返す前に、偽造されたDNS応答を返すことで成立する攻撃である。 以前はTTLの値を大きくしてキャッシュの有効時間を長くすることで対策をとっていたが現在は意味がなくなっている。 これに関するカミンスキー攻撃に関して答えなさい。攻撃者が送信する偽の応答とはどのようなものであるか？

回答
偽の応答とは、ターゲットのドメインに対する偽のIPアドレスのこと。また、トランザクションIDが異なる組み合わせで生成される。

問題３
④はインターネット上にある組織のDMZなどに配置されたDNSキャッシュサーバなどが標的になりやすい。 これに対する防御策として有効なものを1つ答えなさい。

回答
インターネット側からキャッシュサーバへのリクエストを受け付けないようにする。※権威DNSサーバとキャッシュサーバが同じであれば分離するのも有効。

問題４
⑥は標的組織の内部に侵入したマルウェアと、外部にある攻撃者のC&Cサーバの間で通信をして情報を交換する攻撃である。 もしマルウェアがC&Cに対して、「パスワードがabcde」という情報を外部のC&Cに対して送信したい場合、 DNSを使ってどのような手段で情報を通知するか？

回答
まず、①攻撃者がドメインをC&Cサーバに登録、②攻撃者がネームサーバを所有するサーバに設定、③マルウェアがパスワードをサブドメインに送信、④パスワード付きの要求が攻撃者のサーバにルーティングされる、⑤攻撃者がパスワードを取得
こうして情報が通知される。