1. DNS/乗取

DNS/ドメイン名乗取 と同意でしょう。 DNS/なりすまし をまとめてみよう。

乗取の解説、手法の分類、攻撃対象、対策などを整理したい。

結局のところ、分散システムでの脆弱性はすべての部分に存在するということだ。-- ToshinoriMaeno 2021-03-21 23:32:39

1.1. 乗取が指すもの

../なりすまし/手段 DNS/脆弱性/なりすまし いろいろな方法が使われています。いろいろな攻撃対象があるからでしょう。

「乗取」もハイジャックと同様に結果を示しているに過ぎないことが分かる。

1.2. 攻撃手法・対象

(1) レジストラ上のアカウントを乗取り、NSを書き換えている。(レジストラ内のひとも攻撃対象ない)

(2) 「共用DNSサービス」内のDNS/lame_delegationを利用した乗取は簡単に実行可能で怖い。

(3) subdomain takeover (CNAME先のサービス)

(4) レジストラ移管申請(承認手順の不備、詐欺など)

(5) キャッシュポイズニングなど、リゾルバーを攻撃するもの。

(6) レジストリ、レジストラによる強制停止、強制移転 (clientHold, serverHoldを含む)

(7) DNSサービス業者による停止/隔離/移転(cloudflareで見かける)

1.3. ハイジャックは不適切に使われている

DNS/ドメイン名ハイジャックと呼ばれているものの多くはハイジャックにはあたらない。

cache poisoning 攻撃に負けやすいゾーン構成なども。(fragmentationすり替え攻撃を含む。)

-- ToshinoriMaeno 2015-12-22 00:50:43

1.4. 乗取の判定

現時点ではwebコンテンツによる判別が容易だが、いずれ正規のページのコピーが使われるようになるだろう。 そのような場合に使える判別法を健闘しておく。

1.4.1. IP アドレスにより判別

/wocowstore.com は当選詐欺が表示された。

watchA/awsdns/mcstate.com も最近NSが返事をする。

これはアカウントの乗取だろう。 https://www3.nhk.or.jp/kansai-news/20210309/2000042308.html

1.4.2. NS 返答による判別

Cloudflare DNS や awsdns を利用するドメインの場合、REFUSEDを返すNSが含まれているドメインは怪しい。