DNS/毒盛/キャッシュ上書き/NS変更毒/デモ/unbound

1. DNS/毒盛/キャッシュ上書き/NS変更毒/デモ/unbound

について、ここに記述してください。

Authority Section毒の有効範囲

手元のUnboundはharden-referral-path yes; により、脆弱ではないことが分っている。

default は脆弱です。

210.130.0.1 を使って試してみる。(Unbound 1.8.2 以降であることは判明している。)

NXDOMAIN付属のAuthority Section毒は排除される。

harden-referral-path yesらしく、flip.e-ontap.com テストは陰性です。

harden-referral-path no 設定のUnboundでも、

$ dig +norec -t ns flip.e-ontap.com @127.0.0.3

; <<>> DiG 9.12.3 <<>> +norec -t ns flip.e-ontap.com @127.0.0.3
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56556
;; flags: qr ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1220
;; QUESTION SECTION:
;flip.e-ontap.com.              IN      NS

;; ANSWER SECTION:
flip.e-ontap.com.       3560    IN      NS      ns.flip.e-ontap.com.

;; Query time: 0 msec
;; SERVER: 127.0.0.3#53(127.0.0.3)
;; WHEN: 水 12月 26 13:01:04 JST 2018
;; MSG SIZE  rcvd: 62

AnswerとしてのNSをキャッシュに入れておく。

問合せを行っても、毒は入らない。(この辺りがBINDとは異なる)

tmaeno@u16:~$ dig b.flip.e-ontap.com @127.0.0.3

; <<>> DiG 9.12.3 <<>> b.flip.e-ontap.com @127.0.0.3
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46708
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1220
;; QUESTION SECTION:
;b.flip.e-ontap.com.            IN      A

;; ANSWER SECTION:
b.flip.e-ontap.com.     600     IN      A       150.42.6.1

;; Query time: 12 msec
;; SERVER: 127.0.0.3#53(127.0.0.3)
;; WHEN: 水 12月 26 13:02:16 JST 2018
;; MSG SIZE  rcvd: 63

tmaeno@u16:~$ dig c.flip.e-ontap.com @127.0.0.3

; <<>> DiG 9.12.3 <<>> c.flip.e-ontap.com @127.0.0.3
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24338
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1220
;; QUESTION SECTION:
;c.flip.e-ontap.com.            IN      A

;; ANSWER SECTION:
c.flip.e-ontap.com.     600     IN      A       150.42.6.1

;; Query time: 11 msec
;; SERVER: 127.0.0.3#53(127.0.0.3)
;; WHEN: 水 12月 26 13:03:09 JST 2018
;; MSG SIZE  rcvd: 63

tmaeno@u16:~$ dig d.flip.e-ontap.com @127.0.0.3

; <<>> DiG 9.12.3 <<>> d.flip.e-ontap.com @127.0.0.3
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 29191
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1220
;; QUESTION SECTION:
;d.flip.e-ontap.com.            IN      A

;; ANSWER SECTION:
d.flip.e-ontap.com.     600     IN      A       150.42.6.1

;; Query time: 11 msec
;; SERVER: 127.0.0.3#53(127.0.0.3)
;; WHEN: 水 12月 26 13:05:04 JST 2018
;; MSG SIZE  rcvd: 63

tmaeno@u16:~$ dig e.flip.e-ontap.com @127.0.0.3

; <<>> DiG 9.12.3 <<>> e.flip.e-ontap.com @127.0.0.3
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16492
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1220
;; QUESTION SECTION:
;e.flip.e-ontap.com.            IN      A

;; ANSWER SECTION:
e.flip.e-ontap.com.     600     IN      A       150.42.6.1

;; Query time: 11 msec
;; SERVER: 127.0.0.3#53(127.0.0.3)
;; WHEN: 水 12月 26 13:05:14 JST 2018
;; MSG SIZE  rcvd: 63

tmaeno@u16:~$ dig +norec -t ns flip.e-ontap.com @127.0.0.3

; <<>> DiG 9.12.3 <<>> +norec -t ns flip.e-ontap.com @127.0.0.3
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24824
;; flags: qr ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1220
;; QUESTION SECTION:
;flip.e-ontap.com.              IN      NS

;; ANSWER SECTION:
flip.e-ontap.com.       3302    IN      NS      ns.flip.e-ontap.com.

;; Query time: 0 msec
;; SERVER: 127.0.0.3#53(127.0.0.3)
;; WHEN: 水 12月 26 13:05:22 JST 2018
;; MSG SIZE  rcvd: 62

tmaeno@u16:~$ dig +norec -t ns flip.e-ontap.com @127.0.0.3

; <<>> DiG 9.12.3 <<>> +norec -t ns flip.e-ontap.com @127.0.0.3
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 62387
;; flags: qr ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1220
;; QUESTION SECTION:
;flip.e-ontap.com.              IN      NS

;; ANSWER SECTION:
flip.e-ontap.com.       3296    IN      NS      ns.flip.e-ontap.com.

;; Query time: 0 msec
;; SERVER: 127.0.0.3#53(127.0.0.3)
;; WHEN: 水 12月 26 13:05:28 JST 2018
;; MSG SIZE  rcvd: 62

tmaeno@u16:~$ dig e.flip.e-ontap.com @127.0.0.3

; <<>> DiG 9.12.3 <<>> e.flip.e-ontap.com @127.0.0.3
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43823
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1220
;; QUESTION SECTION:
;e.flip.e-ontap.com.            IN      A

;; ANSWER SECTION:
e.flip.e-ontap.com.     583     IN      A       150.42.6.1

;; Query time: 0 msec
;; SERVER: 127.0.0.3#53(127.0.0.3)
;; WHEN: 水 12月 26 13:05:31 JST 2018
;; MSG SIZE  rcvd: 63

tmaeno@u16:~$

MoinQ: DNS/毒盛/キャッシュ上書き/NS変更毒/デモ/unbound

1. DNS/毒盛/キャッシュ上書き/NS変更毒/デモ/unbound