1. DNS/乗取

乗取の解説、手法の分類、攻撃対象、対策などを整理したい。

1.1. 乗取が指すもの

DNS/ドメイン名乗取 DNS/詐取 DNS/ドメイン盗用 なども似ている。 DNS/なりすまし を含めて、まとめてみよう。(spoofing) ../なりすまし/手段 DNS/脆弱性/なりすまし

いろいろな方法が使われています。いろいろな攻撃対象があるからでしょう。

結局のところ、分散システムでの脆弱性はすべての部分に存在するということです。-- ToshinoriMaeno 2021-03-21 23:32:39

「乗取」もハイジャックと同様に結果を示しているに過ぎないことが分かる。

1.2. 攻撃手法・対象

(1) レジストラ上のアカウントを乗取り、NSを書き換えている。(レジストラ内のひとも攻撃対象ない)

(2) 「共用DNSサービス」内のDNS/lame_delegationを利用した乗取は簡単に実行可能で怖い。

(3) subdomain takeover (CNAME先のサービス)

(4) レジストラ移管申請を利用(承認手順の不備、詐欺など)

(5) DNS/キャッシュポイズニングなど、リゾルバーを攻撃する。

(6) レジストリ、レジストラによる強制停止、強制移転 (clientHold, serverHoldを含む)

(7) DNSサービス業者下のアカウント乗取

(8) DNSサービス業者によるドメイン停止/隔離/移転(cloudflareで見かけるもの)

これらの他に、レジストリ、レジストラ、サーバー業者のシステムに侵入することも考えられるが、 ここでは除外する。

1.3. ハイジャックは不適切に用いられている

DNS/ドメイン名ハイジャックと呼ばれているものの多くはハイジャックにはあたらない。

cache poisoning 攻撃に負けやすいゾーン構成なども。(fragmentationすり替え攻撃を含む。)

-- ToshinoriMaeno 2015-12-22 00:50:43

1.4. 乗取の判定

現時点ではwebコンテンツによる判別が容易だが、いずれ正規のページのコピーが使われるようになるだろう。 そのような場合に使える判別法を健闘しておく。

1.4.1. IP アドレスにより判別

/wocowstore.com は当選詐欺が表示された。

watchA/awsdns/mcstate.com も最近NSが返事をする。

これはアカウントの乗取だろう。 https://www3.nhk.or.jp/kansai-news/20210309/2000042308.html

1.4.2. NS 返答による判別

Cloudflare DNS や awsdns を利用するドメインの場合、REFUSEDを返すNSが含まれているドメインは怪しい。

1.5. 記事など

役立つかな。

https://nordvpn.com/ja/blog/what-is-dns-spoofing/