DNSキャッシュポイズニング攻撃に対する防御

攻撃説明

攻撃者はプライマリドメイン名を選択してから、存在しないサブドメインを攻撃されたDNSキャッシュサーバに送信します。
DNSキャッシュサーバは、承認サーバにクエリ要求を送信します。攻撃者は、承認サーバから応答メッセージを受信する前に、多数のDNS応答メッセージを偽造し、それらをキャッシュサーバに送信して正しい応答メッセージにヒットします。

ヒット後、攻撃者の偽造された応答メッセージには、プライマリドメイン名の偽の解決アドレスが含まれており、ポイズニングは成功しています。

防御原則

セッションチェック

ASFでの操作

DNSタイプアプリケーションDDoSプロファイルのDNSキャッシュポイズニング攻撃防御機能を有効にします。