SonicOS/X 7 ネットワーク DNS
DNS 再割り当て攻撃の防御
DNS 再割り当ては、ウェブ ページに埋め込まれたコードに対する DNS ベースの攻撃です。通常、ウェブ ページに埋め込まれたコード (JavaScript、Java、および Flash) からの要求は、その発信元のウェブ サイトにバインドされます (「同一発信元ポリシー」を参照)。DNS 再割り当て攻撃によって、プライベート ネットワークに侵入する JavaScript ベースのマルウェアの能力が高められ、ブラウザの同一発信元ポリシーが覆されることがあります。
DNS 再割り当て攻撃者は、自らが制御する DNS サーバに委託されるドメインを登録します。このサーバは、非常に短い持続時間 (TTL) パラメータで応答するように設定されているため、結果がキャッシュされません。最初の応答には、悪意のあるコードをホストしているサーバの IP アドレスが含まれます。その後の要求には、プライベート (RFC 1918) ネットワークからの IP アドレスが含まれます。 このネットワークはおそらくファイアウォールの後ろにあり、攻撃者のターゲットになります。どちらも完全に有効な DNS 応答であるため、これによってサンドボックス スクリプトにプライベート ネットワーク内のホストへのアクセスが許可されます。このような短期的ながら有効な DNS 応答でアドレスを繰り返すことによって、スクリプトがネットワーク内をスキャンし、他の悪意ある動作を実行することができます。
DNS 再割り当て攻撃の防御を設定するには、以下の手順を実行します。
- 「ネットワーク > DNS 設定」に移動します。
- 「DNS 再割り当て攻撃の防御」セクションまでスクロールします。
- 「DNS 再割り当て攻撃の防御を有効にする」を選択します。このオプションは、既定では選択されていません。2 つのオプションが使用可能になります。
- 「動作」から、DNS 再割り当て攻撃が検知されたときに実行する動作を選択します。
- 攻撃をログする (既定)
- 攻撃をログし、クエリ拒否応答を返す
- 攻撃をログし、DNS 応答を破棄する
-
「許可ドメイン」から、許可するドメイン名を含む FQDN アドレス オブジェクトや FQDN アドレス オブジェクト グループ (*.SonicWall.com など) を選択します。これらのオブジェクトやオブジェクト グループについては、ローカルに接続/ルーティングされるサブネットを正当な応答と見なします。
「FQDN アドレス オブジェクト グループを作成する...」または「FQDN アドレス オブジェクトを作成する...」を選択して、新しい FQDN アドレス オブジェクトや FQDN アドレス オブジェクト グループを作成することもできます。
- 「適用」をクリックします。
Was This Article Helpful?
Help us to improve our support portal