reflectionは反射で、ampは増幅器。
DNSの問い合わせにて、送信元のIPアドレスを攻撃対象にすることで、DDoS攻撃をしかける。
dns_reflection_情報セキュリティスペシャリスト試験
次の過去問(H21春SC午後1問1)を解いてみよう。
問14 DNSの再帰的な問合せを使ったサービス不能攻撃(DNS amp)の踏み台にされることを防止する対策はどれか。
ア キャッシュサーバとコンテンツサーバに分離し,インターネット側からキャッシユサーバに問合せできないようにする。
イ 問合せされたドメインに関する情報をWhoisデータベースで確認する。
ウ 一つのDNSレコードに複数のサーバのIPアドレスを割り当て,サーバヘのアクセスを振り分けて分散させるように設定する。
エ 他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をディジタル署名で確認するように設定する。(H24SC春午前2)
正解はアだ。つまり、そもそも、攻撃者からのDNS問い合わせに回答しなければいいのだ。
もう一問。
K君 :パケットモニタZには, DNSクエリを伴わないDNSクエリレスポンスが多量に記録されていました。パケットモニタZのログを図3に示します。

-----図3の解説
送信元がDMZ上のDNSサーバのIPアドレスで、宛先がインターネット上のIPアドレスのログが大量に記録されている。

J主任:このようなログは,社内LAN上のPCがDNSクエリを送信するときに自身のIPアドレスを[ b ]のIPアドレスに[ c ]した場合に記録されます。
K君 :不正なDNSクエリが多量にDMZ上のDNSサーバに送りつけられたことで, Webページを閲覧するときの応答が遅くなったのですね。確かに,すべての社内PCからの名前解決を, DMZ上のDNSサーバが担っていますから。
J主任:こういった通信は[ d ]攻撃と呼ばれています。至急,不正なパケットを棄却する設定をすべての部門のルータに適用してください。
K君 :はい,分かりました。
J主任:こうした事象は,ウィルス感染によってよく引き起こされます。

設問1
(2)本文中の[ b ]に入れる適切な字句を解答群の中から選び,記号で答えよ。また,本文中の[ c ]に入れる適切な字句を、5字以内で答えよ。
bに関する解答群
ア DMZ上のDNSサーバ ウ インターネット上
イ DMZ上のWebサーバ

(3)本文中の[ d ]に入れる適切な字句を解答群の中から選び,記号で答えよ。
解答群
ア DNS cache poisoning  ウ 総当たり
イ DNS reflection   エ ファーミング
bはウ
cは詐称
dはDNS reflection