Differences between revisions 50 and 51
Revision 50 as of 2021-03-21 21:39:19
Size: 3495
Editor: ToshinoriMaeno
Comment:
Revision 51 as of 2021-03-21 21:58:20
Size: 3678
Editor: ToshinoriMaeno
Comment:
Deletions are marked like this. Additions are marked like this.
Line 15: Line 15:
[[../なりすまし/手段]]
ずいぶんといろいろな方法が使われています。対象もいろいろです。		 [[../なりすまし/手段]] [[DNS/脆弱性/なりすまし]]
いろいろな方法が使われています。いろいろな攻撃対象があるからでしょう。
    . [[DNS/詐取]] [[DNS/ドメイン盗用]] とした。
Line 19: Line 20:
  期限切れのドメイン名を登録するのはドロップキャッチと呼ばれている正規の手続きです。   . 期限切れのドメイン名を登録するのはドロップキャッチと呼ばれている正規の手続きです。
  . 類似の名前、よく似た名前を登録して、間違いを待ち受けるのは、typo squatting と呼ばれている。
Line 21: Line 23:
(1) 最近ではcoincheck, cream.finance, pancakeswap.finance などがある。
  レジストラ上のアカウントを乗取り、NSを書き換えている。
  . [[DNS/詐取]] [[DNS/ドメイン盗用]] とした。		 == 攻撃手法・対象 ==
(1) レジストラ上のアカウントを乗取り、NSを書き換えている。(レジストラ内のひとも攻撃対象ない)
  最近ではcoincheck, cream.finance, pancakeswap.finance などがある。
Line 25: Line 27:
(2) 「共用DNSサービスの[[DNS/lame_delegation]]を利用した乗取に注目している。 (2) 「共用DNSサービス」内の[[DNS/lame_delegation]]を利用した乗取に注目している。
  [[/権利確認なし]] で任意のゾーンを作成できるDNSサービスがあり、
  これらに委譲するのは危険です。(親子同居とか兄弟同居とか)
Line 33: Line 36:
  [[/レジストラによる強制変更]]
Line 39: Line 42:

類似の名前、よく似た名前を登録するのは、typo squatting と呼ばれている。
Line 45: Line 45:


[[/レジストラによる強制変更]] も乗取と言えそう。

[[/権利確認なし]] で任意のゾーンを作成できるサービスがあり、危険です。(親子同居とか兄弟同居とか)
Line 52: Line 47:
cache poisoning 攻撃に負けやすい構成なども。(fragmentationすり替え攻撃を含む。)

[[DNS/脆弱性/なりすまし]]

[[DNS/毒盛/2015/ribbon.to事件]] 起きて当然のことが起きた。		 cache poisoning 攻撃に負けやすいゾーン構成なども。(fragmentationすり替え攻撃を含む。)
  [[DNS/毒盛/2015/ribbon.to事件]] 起きて当然のことが起きた。
Line 58: Line 50:

ゾーンデータは修正されたが、
KDDIキャッシュサーバの欠陥と重なって、現在も広告表示は続いている。(浸透待ち中w)		   ゾーンデータは修正されたが、
  KDDIキャッシュサーバの欠陥と重なって、現在も広告表示は続いている。(浸透待ち中w)
Line 64: Line 55:
== IP アドレス == == 乗取の判定 ==
=== IP アドレスにより判別 ===
Line 74: Line 66:
== 乗取の ==
Cloudflare DNS や awsdns を利用するドメインの場合、REFUSEDを返すNSが含まれているドメインを調査する		 == NS 返答による ==
Cloudflare DNS や awsdns を利用するドメインの場合、REFUSEDを返すNSが含まれているドメインは怪しい

1. DNS/乗取

/CF1   /CF2   /CF3   /GoDaddy   /MITM   /SpiritSwap   /cd_TLD   /cloudflare   /coincheck乗取   /craigslist.org   /cream.finance   /d-n-s.info   /dnsv   /pancakeswap   /quickswap.finance   /ribbon.to事件   /www.gov.mu   /zoho.com   /お名前.com   /アドレス   /レジストラ   /一覧   /対策   /悪用  

DNS/ドメイン名乗取 と同意でしょう。 DNS/なりすまし をまとめてみよう。

Contents

  1. DNS/乗取
    1. 乗取が指すもの
    2. 攻撃手法・対象
    3. ハイジャックは不適切に使われている
    4. 乗取の判定
      1. IP アドレスにより判別
    5. NS 返答による判別

乗取の解説、手法の分類、攻撃対象、対策などを整理したい。 -- ToshinoriMaeno 2021-03-11 20:18:44

1.1. 乗取が指すもの

../なりすまし/手段 DNS/脆弱性/なりすまし いろいろな方法が使われています。いろいろな攻撃対象があるからでしょう。

「乗取」もハイジャックと同様に結果を示しているに過ぎないことが分かる。

  • 期限切れのドメイン名を登録するのはドロップキャッチと呼ばれている正規の手続きです。
  • 類似の名前、よく似た名前を登録して、間違いを待ち受けるのは、typo squatting と呼ばれている。

1.2. 攻撃手法・対象

(1) レジストラ上のアカウントを乗取り、NSを書き換えている。(レジストラ内のひとも攻撃対象ない)

  • 最近ではcoincheck, cream.finance, pancakeswap.finance などがある。

(2) 「共用DNSサービス」内のDNS/lame_delegationを利用した乗取に注目している。

  • /権利確認なし で任意のゾーンを作成できるDNSサービスがあり、 これらに委譲するのは危険です。(親子同居とか兄弟同居とか)

    • lame delegation でなくとも部分的乗取は可能かもしれない。(2012 さくら)

(3) キャッシュポイズニングなど、リゾルバーを攻撃するものもある。

  • これも分類が必要だが、ここでは省略。

(4) レジストリ、レジストラによる強制停止、強制移転 (clientHold, serverHoldを含む)

(5) レジストラ移管申請(承認手順の不備、詐欺など)

(6) DNSサービス業者による停止/隔離/移転(cloudflareでだけ見かける)

1.3. ハイジャックは不適切に使われている

DNS/ドメイン名ハイジャックと呼ばれているものの多くはハイジャックにはあたらない。

  • 乗取なら分からなくもないが、広すぎる。DNS/hijacking 危険な委譲設定をしてしまうのはドメイン名権利者が勉強不足といえます。

cache poisoning 攻撃に負けやすいゾーン構成なども。(fragmentationすり替え攻撃を含む。)

  • DNS/毒盛/2015/ribbon.to事件 起きて当然のことが起きた。 visa.co.jpと同種の欠陥を抱えていたribbon.to(gachagacha.org)が広告業者に乗っ取られた。 ゾーンデータは修正されたが、 KDDIキャッシュサーバの欠陥と重なって、現在も広告表示は続いている。(浸透待ち中w)

-- ToshinoriMaeno 2015-12-22 00:50:43

1.4. 乗取の判定

1.4.1. IP アドレスにより判別

/wocowstore.com は当選詐欺が表示された。

  • /173.249.6.108 を指すサイトは乗取られているものが多数ある模様。

watchA/awsdns/mcstate.com も最近NSが返事をする。

これはアカウントの乗取だろう。 https://www3.nhk.or.jp/kansai-news/20210309/2000042308.html

1.5. NS 返答による判別

Cloudflare DNS や awsdns を利用するドメインの場合、REFUSEDを返すNSが含まれているドメインは怪しい。

MoinQ: DNS/乗取 (last edited 2023-07-23 02:15:45 by ToshinoriMaeno)