ソースポートランダマイゼーション 【source port randomization】

カミンスキー攻撃と呼ばれるDNSキャッシュポイズニング攻撃を効率化させた攻撃手法への対策としてよく行なわれる。この攻撃では、攻撃者はDNSキャッシュサーバ（フルサービスリゾルバ）に存在しないホスト名を含むドメイン名への問い合わせを行い、当該ドメイン名の権威DNSサーバへ問い合わせを行うタイミングを狙って偽の応答を送信し、DNSキャッシュを偽の情報で汚染する。

一般的な運用では権威DNSサーバへの問い合わせは決まったTCPポート番号から発信されるため、攻撃者はそのポート番号を狙い撃ちして偽の応答を送り込むが、ソースポートランダマイゼーションを適用したサーバは送信元として使用可能な多数のポート番号を用意しておき、問い合わせごとに規則性無く前回とは別の番号に切り替える。

攻撃者が「当たり」のポートを攻撃すればポイズニングが成功してしまう可能性があるため完全な対策とは言えないが、固定的なポート番号で運用するよりは大幅に攻撃の成功率や効率を低下させることができ、通常のDNSサービスの運用には特に支障や追加の負担が無いため、利用可能な場合は設定しておくとよいとされる。

関連用語

DNS

【Domain Name System】

IPアドレス

【Internet Protocol Address】

Web

【ウェブ】

インターネット

【Internet】

キャッシュ

【cache】

クライアント

【client】

サーバ

【server】

ソフトウェア

【software】

再起動

【リブート】

ポート

【port】

ファイル

【file】

DNSサーバ

【DNS server】

インストール

【install】

JPRS

【Japan Registry Service】

脆弱性

【vulnerability】

DNSキャッシュポイズニング

【DNS cache poisoning】

ネットワーク

【network】

システム

【system】

プログラム

【program】

セキュリティ

【security】