15863853

宛先ポート番号は53ですよね。
送信元のポート番号も53なんですか?



古いバージョンの場合はそうだった。宛先ポート番号だけでなく、送信元ポート番号も53という時代があった。
しかし、これには問題があった。過去問を見てみよう。
DNSソフトの製品サポート窓口からは,現時点でとり得る対策として,  DNSサーバで,②名前解決の問合せにおいてDNSキャッシュポイズニング攻撃を受けやすい不適切な設定を行わないという解決策が提示され,それに従い設計書を修正した。念のため,現在のDNSサーバの設定を確認したところ,設定は適切であった。

設問2(3)本文中の下線②について,  DNSキャッシュポイズニング攻撃を受けやすいDNSサーバの不適切な設定とはどのような設定であるか。 25字以内で述べよ。 (H22春SC午後2問1)
正解は「送信元ポート番号を固定する設定」である。
これは、送信元ポート番号が、古いDNSサーバの場合は53に固定されていることが問題ということだ。DNSキャッシュポイズニングでは、一瞬のスキで偽装パケットを送る必要がある。ポート番号が固定されていれば、応答パケットを作りやすいので、攻撃を受けやすい。
最近というか、かなり前のDNSサーバから、送信元ポート番号は固定ではなくなった。まだ、変えていないことろがあるとすると、変えた方がいい。その際、FWの設定変更が必要なこともあり、注意が必要だ。送信元ポートを53固定で許可している可能性があるからだ。