[情報処理安全確保支援士]DNSの機能[無料講座・例題付き]

それぞれの選択肢についてみていきましょう。

ア　DNSサーバに対して，IPアドレスに対応するドメイン名，又はドメイン名に対応するIPアドレスを問合せるクライアントソフトウェアを，リゾルバという。

→リゾルバ(Resolver)は、利用者からの名前解決要求に対してDNSサーバに問合せを行い、その結果を利用者に返すクライアントソフトウェアです。したがって正しいです。

イ　問合せを受けたDNSサーバが要求されたデータをもっていない場合に，他のDNSサーバを参照先として回答することを，ゾーン転送という。

→ゾーン転送は、プライマリDNSサーバとセカンダリDNSサーバの間で行われる名前解決情報(ゾーン情報)の同期処理のことです。選択肢についてはは反復問合せに該当するので誤りです。

ウ　ドメイン名に対応するIPアドレスを求めることを，逆引きという。

→ドメイン名に対するIPアドレスを求めることは正引きで、IPアドレスに対するドメイン名を求めることが逆引きです。したがって誤りです。

エ　ドメイン名を管理するDNSサーバを指定する資源レコードのことを，CNAMEという。

→ドメイン名を管理するDNSサーバを指定する資源レコードはNSレコードです。CNAMEはホスト名にエイリアス(別名)を設定するためのレコードです。

これより、アが正解です。

DNS ampは、公開DNSキャッシュサーバの脆弱性をついて、踏み台として悪用することで行われるDDoS攻撃(分散型サービス妨害)の一つです。

具体的な攻撃手順は以下の通りです。

DNS amp攻撃の踏み台をさけるために、キャッシュサーバとコンテンツサーバを分離したり、利用可能なホストのIPアドレスの範囲を設定したりするなど、DNSキャッシュサーバが不要なクエリを受け取らないようにアクセス制限を施さなければいけません。

それぞれの対策方法を見ていきましょう。

ア　DNSキャッシュサーバとコンテンツサーバに分離し，インターネット側からDNSキャッシュサーバに問合せできないようにする。

→インターネットからDNSキャッシュサーバへ問合せできなければ踏み台を避けることができます。したがって正解です。

イ　問合せされたドメインに関する情報をWhoisデータベースで確認する。

→DNS amp攻撃が使うドメインは、不正または架空のもののため、Whoisデータベースでの確認はほとんど無意味です。したがって誤りです。

ウ　一つのDNSレコードに複数のサーバのIPアドレスを割り当て，サーバへのアクセスを振り分けて分散させるように設定する。

→DNSラウンドロビンの説明です。負荷分散はできますが、DNS amp攻撃の有効な対策とはなりません。したがって誤りです。

エ　他のDNSサーバから送られてくるIPアドレスとホスト名の対応情報の信頼性をディジタル署名で確認するように設定する。

→DNSSECに関する説明です。DNSキャッシュポイズニング攻撃には対応できますが、DNS amp攻撃には対応できません。したがって誤りです。

これより、アが正解です。

MXレコードはMail eXchangeレコードの略で、そのDNSが管理しているドメイン宛てのメールを受け付けるメールサーバを定義するレコードのことです。

メールの送信先をDNSに問い合わせるとMXレコードの値が返されるため、そのメールサーバを宛先IPアドレスに設定してメールを送信することになります。

ア　宛先ドメインへの電子メールを受け付けるメールサーバ

→MXレコードはそのドメインのメールサーバを指定するリソースレコードです。したがって正解です。

イ　エラーが発生したときの通知先のメールアドレス

→DNSでは管理者のメールアドレスをSOAレコードで指定します。したがって誤りです。

ウ　複数のDNSサーバが動作しているときのマスタDNSサーバ

→マスタDNSサーバもSOAレコードで指定します。したがって誤りです。

エ　メーリングリストを管理しているサーバ

→MXレコードは、メーリングリストを管理するサーバではありません。

これより、アが正解です。