MoinQ:

DNS/キャッシュサーバへの毒盛/攻撃3について、ここに記述してください。

1. もっと確実な毒盛手法

port random 化が十分実施されたあとであれば、議論するという Kaminsky 提案に従う。

3年が経過したので、もうはっきり書いても害は少ないだろう。

Aレコードをターゲットにした毒の混入はいろいろの防禦法がある。

2. NS レコードへの毒盛

NSレコードに視点を移してみよ。簡単かつ本質的に回避困難な方法がすぐに見つかる。

それでも、DNS/DNSSECが持ち出される根拠になるだろうか。

-- ToshinoriMaeno 2011-05-21 02:42:51

3. re-delegation attack

hpcl.titech.ac.jp サーバに m.hpcl.titech.ac.jp の NS レコードを照会する:

%dnsq ns m.hpcl.titech.ac.jp 131.112.125.18 

2 m.hpcl.titech.ac.jp:
104 bytes, 1+0+2+2 records, response, noerror
query: 2 m.hpcl.titech.ac.jp
authority: m.hpcl.titech.ac.jp 86400 NS ns.m.hpcl.titech.ac.jp
authority: m.hpcl.titech.ac.jp 86400 NS ns2.m.hpcl.titech.ac.jp
additional: ns.m.hpcl.titech.ac.jp 86400 A 131.112.32.2
additional: ns2.m.hpcl.titech.ac.jp 86400 A 131.112.32.3

additional sectionは無視するとしたら、authority section だけであり、answer section はない。

同様の問い合わせの結果(存在しない名前-サブドメイン名の問い合わせ)

%dnsq a zzz.m.hpcl.titech.ac.jp 131.112.125.18 

1 zzz.m.hpcl.titech.ac.jp:
108 bytes, 1+0+2+2 records, response, noerror
query: 1 zzz.m.hpcl.titech.ac.jp
authority: m.hpcl.titech.ac.jp 86400 NS ns.m.hpcl.titech.ac.jp
authority: m.hpcl.titech.ac.jp 86400 NS ns2.m.hpcl.titech.ac.jp
additional: ns.m.hpcl.titech.ac.jp 86400 A 131.112.32.2
additional: ns2.m.hpcl.titech.ac.jp 86400 A 131.112.32.3

zzz.m.hpcl.* は m.hpcl.* サーバに委譲されている。

m.hpcl.* を www.hpcl.* で置き換えてみると、www.hpcl.* ドメインを乗っ取ることができることが分かる。

4. 仮想攻撃シナリオ

%dnsq a $R.www.hpcl.titech.ac.jp 131.112.125.18 

1 $R.www.hpcl.titech.ac.jp:
108 bytes, 1+0+2+2 records, response, noerror
query: 1 $R.www.hpcl.titech.ac.jp
authority: www.hpcl.titech.ac.jp 86400 NS attacker-host

hpcl.titech.ac.jp に www.hpcl.titech.ac.jp を問い合わせたら、

なにもおかしな部分はない。毒入れ成功。

あとはwww.hpcl.titech.ac.jp に関する問い合わせを待つだけ。

-- ToshinoriMaeno 2011-05-15 13:34:20

5. 対抗策 (課題)

www.hpcl.titech.ac.jpのAレコードがすでにキャッシュされていたらどうなるか。

www.hpcl.titech.ak.jp がCNAMEだったらどうか。

個別データとしてのwww.hpcl.titech.ac.jp に対する毒入れに対抗することはできるかもしれない。

-- ToshinoriMaeno 2011-05-15 22:03:25