1. DNS/毒盛/移転インジェクション/確認方法
| /bind /checker /unbound /unbound-0 |
/checker https://dnschecker.org/#A/xx1.flip.e-ontap.com
Contents
1.1. Authority Section の危険性
2008年にKaminskyが指摘したDNS毒盛攻撃手段の説明では具体的な攻撃手法はあいまいであった。(間違いもあった) 民田が示した例では、Answer Sectionのある返答を使い、そのAuthority/Additional sectionを毒とするものであった。
このAuthority/Additional sectionは必要があってつけているものではない。
- 受け取った側は捨ててよい。
そんな返答を受け入れるリゾルバーがあるのだろうか、というのがここで参照しているページが作られた理由だ。
2014年にMueller型NS毒攻撃の見直しを行ったときに、鈴木が指摘したものである。
キャッシュされたNSレコードを上書きするような攻撃も成立すると。
- (2012年のGhost Domain Names脆弱性指摘でも、存在自体は明らかであった。)
1.2. e-ontap.com
移転インジェクション脆弱性の確認方法: http://www.e-ontap.com/dns/flip.e-ontap.com.html
1.3. 説明と振る舞いが一致していない
- 推測を以下に書いてみる。
1.4. 振る舞いからの推測
委譲元 (e-ontap.com ゾーン) では以下のように ns1.flip.e-ontap.com = 150.42.6.1 を指しています。 flip.e-ontap.com. 86400 NS ns1.flip.e-ontap.com. ns1.flip.e-ontap.com. 86400 A 150.42.6.1
1.5. ns1.flip.e-ontap.com
;; ANSWER SECTION: flip.e-ontap.com. 3600 IN NS ns.flip.e-ontap.com. ;; ADDITIONAL SECTION: ns.flip.e-ontap.com. 3600 IN A 150.42.6.1
1.5.1. ns.flip.e-ontap.com (150.42.6.1)
*.flip.e-ontap.com. 60 A 150.42.6.1
これにより、問い合わせたサーバーが簡単に見分けられる。
10分を周期とし、前半、後半の5 分ごとに以下のようにゾーンデータを切り替えている。
1.5.2. 時間による返答の切替
前半0-5分
flip.e-ontap.com. 3600 NS ns.flip.e-ontap.com. ns.flip.e-ontap.com. 3600 A 150.42.6.1
後半5-10分
flip.e-ontap.com. 3600 NS ns.flip.internot.jp.
- ns.flip.internot.jp は別途150.42.6.5と設定されている。
1.6. ns.flip.internot.jp (150.42.6.5)
*.flip.e-ontap.com. 60 A 150.42.6.5
NSなどの返答内容は150.42.6.1と同じである。
1.7. 脆弱性の確認方法
flip.e-ontap.com 下の名前のAレコードをキャッシュサーバーに何度も問い合わせる。
- 問い合わせる名前は以前のものとは異なる名前になるように決めます。
返ってくるアドレスが変化していれば、異なるサーバーに問い合わせたことになる。
- つまり、毒盛できると判定できます。
どう使うかは、別に書きます。(-- ToshinoriMaeno 2018-04-06 13:40:00)
- 途中に確認のためのNSレコードをはさんでいたのは、まずいことが分ったので、推奨しません。