## page was renamed from DNS/キャッシュ毒盛/攻撃/3 ## page was renamed from DNS/キャッシュ毒盛/攻撃3 ## page was renamed from DNS/キャッシュサーバ毒盛/攻撃3 ## page was renamed from DNS/キャッシュサーバ/毒盛/攻撃3 ## page was copied from DNS/キャッシュサーバへの毒盛/攻撃3 DNS/キャッシュサーバへの毒盛/攻撃3について、ここに記述してください。 == もっと確実な毒盛手法 == port random 化が十分実施されたあとであれば、議論するという Kaminsky 提案に従う。 ヒントは検索:"Bernhard Mueller re-delegation" ------ 3年が経過したので、もうはっきり書いても害は少ないだろう。  最近になって、「Kaminsky講演のスライドにはバグがある。」とか言っている関係者もいる。   かつての説明は訂正されたのだろうか。 Aレコードをターゲットにした毒の混入はいろいろの防禦法がある。 == NS レコードへの毒盛 == NSレコードに視点を移してみよ。簡単かつ本質的に回避困難な方法がすぐに見つかる。   http://scientia.jpn.org/index.php?%A5%B3%A5%F3%A5%D4%A5%E5%A1%BC%A5%BF%B9%D6%BA%C22FKaminsky%20Attack それでも、[[DNS/DNSSEC]]が持ち出される根拠になるだろうか。  どの程度の危険性があるのか、きちんとした評価が必要だ。 -- ToshinoriMaeno <> == re-delegation attack == hpcl.titech.ac.jp サーバに m.hpcl.titech.ac.jp の NS レコードを照会する: %dnsq ns m.hpcl.titech.ac.jp 131.112.125.18 {{{ 2 m.hpcl.titech.ac.jp: 104 bytes, 1+0+2+2 records, response, noerror query: 2 m.hpcl.titech.ac.jp authority: m.hpcl.titech.ac.jp 86400 NS ns.m.hpcl.titech.ac.jp authority: m.hpcl.titech.ac.jp 86400 NS ns2.m.hpcl.titech.ac.jp additional: ns.m.hpcl.titech.ac.jp 86400 A 131.112.32.2 additional: ns2.m.hpcl.titech.ac.jp 86400 A 131.112.32.3 }}} additional sectionは無視するとしたら、authority section だけであり、answer section はない。  hpcl.titech.ac.jp のサブドメインであるところの m.hpcl.titech.ac.jp は    ns.m.hpcl.titech.ac.jp などのホストに委譲されている。 同様の問い合わせの結果(存在しない名前-サブドメイン名の問い合わせ) %dnsq a zzz.m.hpcl.titech.ac.jp 131.112.125.18 {{{ 1 zzz.m.hpcl.titech.ac.jp: 108 bytes, 1+0+2+2 records, response, noerror query: 1 zzz.m.hpcl.titech.ac.jp authority: m.hpcl.titech.ac.jp 86400 NS ns.m.hpcl.titech.ac.jp authority: m.hpcl.titech.ac.jp 86400 NS ns2.m.hpcl.titech.ac.jp additional: ns.m.hpcl.titech.ac.jp 86400 A 131.112.32.2 additional: ns2.m.hpcl.titech.ac.jp 86400 A 131.112.32.3 }}} zzz.m.hpcl.* は m.hpcl.* サーバに委譲されている。 m.hpcl.* を www.hpcl.* で置き換えてみると、www.hpcl.* ドメインを乗っ取ることができることが分かる。 == 仮想攻撃シナリオ == %dnsq a $R.www.hpcl.titech.ac.jp 131.112.125.18 {{{ 1 $R.www.hpcl.titech.ac.jp: 108 bytes, 1+0+2+2 records, response, noerror query: 1 $R.www.hpcl.titech.ac.jp authority: www.hpcl.titech.ac.jp 86400 NS attacker-host }}} hpcl.titech.ac.jp に www.hpcl.titech.ac.jp を問い合わせたら、 委譲だ(authority section)という返答をもらったとしよう。 なにもおかしな部分はない。毒入れ成功。 あとはwww.hpcl.titech.ac.jp に関する問い合わせを待つだけ。   偽 A レコードを返せば完了だ。 -- ToshinoriMaeno <> == 対抗策 (課題) == www.hpcl.titech.ac.jpのAレコードがすでにキャッシュされていたらどうなるか。 NSレコードだったらどうか。 [TTLの長さが関係するか] www.hpcl.titech.ak.jp がCNAMEだったらどうか。 個別データとしてのwww.hpcl.titech.ac.jp に対する毒入れに対抗することはできるかもしれない。  でもCNAMEの場合、こんどは本名が攻撃対象にされるだけかも。 -- ToshinoriMaeno <>