1. DNS/乗取

乗取の解説、手法の分類、攻撃対象、対策などを整理したい。DNS/spoofing

1.1. 乗取が指すもの

DNS/ドメイン名乗取 DNS/詐取 DNS/ドメイン盗用 なども似ている。 DNS/なりすまし を含めて、まとめてみよう。(spoofing)

いろいろな方法が使われています。いろいろな攻撃対象があるからでしょう。

結局のところ、分散システムでの脆弱性はすべての部分に存在するということです。-- ToshinoriMaeno 2021-03-21 23:32:39

「乗取」もハイジャックと同様に結果を示しているに過ぎないことが分かる。

1.2. 攻撃手法・対象

思いつくものを適当に並べてみましたが、これで全部を尽くしてか心配です。

(1) レジストラ上のアカウントを乗取り、NSを書き換えている。(レジストラ内のひとも攻撃対象ない)

(2)DNS/lame_delegationを利用した乗取は簡単に実行可能で怖い。

(3) subdomain takeover (CNAME先のサービス)

(4) レジストラ移管申請を利用・悪用(承認手順の不備、詐欺など)

(5) DNS/キャッシュポイズニングなどによりリゾルバーを攻撃する。

(6) レジストリ、レジストラによる強制停止、強制移転 (clientHold, serverHoldを含む)

(7) DNSサービス業者下のアカウント乗取

(8) DNSサービス業者によるドメイン停止/隔離/移転

これらの他に、レジストリ、レジストラ、サーバー業者のシステムに侵入することも考えられるが、 ここでは除外する。ルーティングを変更して、DNS関連トラフィックを奪う手法もある。 家庭用ルーターの設定を変更する攻撃もある。

1.3. ハイジャックは不適切に用いられている

DNS/ドメイン名ハイジャックと呼ばれているものの多くはハイジャックにはあたらない。

日本語にするなら、カタカナではなく、それらしい単語にしたい。

cache poisoning 攻撃に負けやすいゾーン構成なども考慮すべきだ。(fragmentationすり替え攻撃を含む。)

-- ToshinoriMaeno 2015-12-22 00:50:43

1.4. 乗取の判定

現時点ではwebコンテンツによる判別が容易だが、いずれ正規のページのコピーが使われるようになるだろう。 そのような場合に使える判別法を健闘しておく。

1.4.1. IP アドレスにより判別

/wocowstore.com は当選詐欺が表示された。

watchA/awsdns/mcstate.com も最近NSが返事をする。

これはアカウントの乗取だろう。 https://www3.nhk.or.jp/kansai-news/20210309/2000042308.html

1.4.2. NS 返答による判別

Cloudflare DNS や awsdns を利用するドメインの場合、REFUSEDを返すNSが含まれているドメインは怪しい。

1.5. 記事など

役立つかな。

https://nordvpn.com/ja/blog/what-is-dns-spoofing/