Differences between revisions 60 and 61
Revision 60 as of 2021-03-22 00:06:29
Size: 4396
Comment:
Revision 61 as of 2021-03-22 00:12:29
Size: 4399
Comment:
Deletions are marked like this. Additions are marked like this.
Line 13: Line 13:
結局のところ、分散システムでの脆弱性はすべての部分に存在するということ。-- ToshinoriMaeno <<DateTime(2021-03-22T08:32:39+0900)>> 結局のところ、分散システムでの脆弱性はすべての部分に存在するということです。-- ToshinoriMaeno <<DateTime(2021-03-22T08:32:39+0900)>>

1. DNS/乗取

DNS/ドメイン名乗取 と同意でしょう。 DNS/なりすまし をまとめてみよう。(spoofing)

乗取の解説、手法の分類、攻撃対象、対策などを整理したい。

結局のところ、分散システムでの脆弱性はすべての部分に存在するということです。-- ToshinoriMaeno 2021-03-21 23:32:39

1.1. 乗取が指すもの

../なりすまし/手段 DNS/脆弱性/なりすまし いろいろな方法が使われています。いろいろな攻撃対象があるからでしょう。

「乗取」もハイジャックと同様に結果を示しているに過ぎないことが分かる。

  • 期限切れのドメイン名を登録するのはドロップキャッチと呼ばれている正規の手続きです。
  • 類似の名前、よく似た名前を登録して、間違いを待ち受けるのは、typo squatting と呼ばれている。

1.2. 攻撃手法・対象

(1) レジストラ上のアカウントを乗取り、NSを書き換えている。(レジストラ内のひとも攻撃対象ない)

  • 最近ではcoincheck, cream.finance, pancakeswap.finance などがある。
    • レジストラソフトウェアの不備などもある。

(2) 「共用DNSサービス」内のDNS/lame_delegationを利用した乗取は簡単に実行可能で怖い。

  • /権利確認なし で任意のゾーンを作成できるDNSサービスがある。

    • これらに委譲するのは危険です。 lame delegation でなくとも部分的乗取は可能かもしれない。((親子同居とか兄弟同居とか)2012 さくら)

(3) subdomain takeover (CNAME先のサービス)

  • CDNサービスへのポインタ不良

(4) レジストラ移管申請を利用(承認手順の不備、詐欺など)

(5) キャッシュポイズニングなど、リゾルバーを攻撃する。

  • これも分類が必要だが、ここでは省略。(packet fragment化攻撃とかも)

(6) レジストリ、レジストラによる強制停止、強制移転 (clientHold, serverHoldを含む)

(7) DNSサービス業者によるドメイン停止/隔離/移転(cloudflareで見かける)

1.3. ハイジャックは不適切に使われている

DNS/ドメイン名ハイジャックと呼ばれているものの多くはハイジャックにはあたらない。

  • 乗取なら分からなくもないが、広すぎる。DNS/hijacking 危険な委譲設定をしてしまうのはドメイン名権利者が勉強不足といえます。

cache poisoning 攻撃に負けやすいゾーン構成なども。(fragmentationすり替え攻撃を含む。)

  • DNS/毒盛/2015/ribbon.to事件 起きて当然のことが起きた。 visa.co.jpと同種の欠陥を抱えていたribbon.to(gachagacha.org)が広告業者に乗っ取られた。 ゾーンデータは修正されたが、 KDDIキャッシュサーバの欠陥と重なって、現在も広告表示は続いている。(浸透待ち中w)

-- ToshinoriMaeno 2015-12-22 00:50:43

1.4. 乗取の判定

現時点ではwebコンテンツによる判別が容易だが、いずれ正規のページのコピーが使われるようになるだろう。 そのような場合に使える判別法を健闘しておく。

1.4.1. IP アドレスにより判別

/wocowstore.com は当選詐欺が表示された。

  • /173.249.6.108 を指すサイトは乗取られているものが多数ある模様。

watchA/awsdns/mcstate.com も最近NSが返事をする。

これはアカウントの乗取だろう。 https://www3.nhk.or.jp/kansai-news/20210309/2000042308.html

1.4.2. NS 返答による判別

Cloudflare DNS や awsdns を利用するドメインの場合、REFUSEDを返すNSが含まれているドメインは怪しい。

1.5. 記事など

役立つかな。

https://nordvpn.com/ja/blog/what-is-dns-spoofing/

MoinQ: DNS/乗取 (last edited 2023-07-23 02:15:45 by ToshinoriMaeno)