MoinQ:

IIJについて、ここに記述してください。

Internet Infrastructure Review (IIR) Vol.24 2014年8月22日発行

3.4 DNSと攻撃 からの引用

DNSでは問い合わせプロトコルとして主にUDPが利用されています。
UDPはTCPと比べて通信の成りすましが容易で、攻撃者が偽の応答を注入できる可能性があります。
偽の応答の注入に成功するには、問い合わせとIPアドレス、ポート番号、DNS ID、QNAMEの情報が一致する必要があります。
防御側では問い合わせの該当情報が偽の応答と一致しないように努力する必要があります。
DNS IDが既に十分乱数から生成されているとすると、残るは送信元ポート番号に良い乱数を利用することが必須です。

送信元ポート番号を固定している古いDNS実装を利用している場合には最新のDNS実装に更新するなどして、
推測しにくい問い合わせを送出できるように対策が必要です。
また、一部ファイアウォールやNAPT機器では、せっかく問い合わせ元でDNS IDや送信元ポート番号に乱数を利用しても、
これらの情報を上書きしてしまうものもあるため、併せて注意が必要です。

多くのDNS関連の攻撃には、送信元IPアドレスの偽装が利用されています。
各ネットワークでBCP38(※7)を実装して、送信元IPアドレスの偽装ができない環境が整えば、
現在のDNSを悪用した攻撃はほとんどが根絶可能です。
BCP38を容易に実装できるようにとuRPF check機能も各社ルータに実装されているため、
特に端末が接続しているようなネットワークでは送信元IPアドレスを偽装した攻撃の送出を未然に防げるように、
積極的に送信元IPアドレスの検証導入をご検討ください。