1. 攻撃/DDoS/リフレクター攻撃/三条件
JPRSが必要だというみっつの条件を考えてみる。https://jprs.jp/tech/notice/2013-04-18-reflector-attacks.html
1.1. 送信元IPアドレスの詐称
返答を攻撃対象に向けさせるためには必要と言っていい。
1.2. reflectorの存在
多数必要かどうか。どれくらいが多数といえるか。
オープンリゾルバーはreflectorのひとつに過ぎない。
- ゾーンサーバを利用するのであれば、アクセス制限すら気にする必要がない。
1.3. 増幅率
オープンリゾルバーを反射板に使うなら、任意サイズ(EDNS0の制限範囲)の返答を 返させることができる。
ゾーンサーバを反射板に使うこともできる。
- 最近はDNSSECによって、返答が大きくなりがちなので、難しい話ではない。
-- ToshinoriMaeno 2016-09-15 12:00:31
2. 結論
DoS攻撃手段としてのリフレクター攻撃が使われるのは
- 送信元IPアドレスの詐称ができる接続業者が存在しており、 以下が実現できるからだと考える。
- 攻撃を集中させるのが簡単、かつ身元(攻撃元)を隠せる。
そこで、詐称しにくくするingress filteringが需要になる。接続業者の責任である。
- BCP 38 (Ingress Filtering)を実施していない接続業者はDoS攻撃幇助と言ってもよい。 こういう業者のリストは作れないものか。
ただし、詐称ができなくても、リフレクター攻撃は可能だ。
リフレクター攻撃でないDoS攻撃も存在する。攻撃/DDoS
-- ToshinoriMaeno 2016-09-15 21:25:38
https://www.nlnetlabs.nl/downloads/publications/report-rrl-dekoning-rozekrans.pdf