DNS/歴史 は脆弱性の歴史である。

/年代別 ../脆弱性の歴史 DNS/実装/BIND/歴史

キャッシュ毒盛攻撃は効率との競争だ。

• フラグメント化、port推測技法(2021, 2020年のSADDNS)など、OSとの関連で攻撃手法が見つかっている。

2008年、2020年に特に注目すべき。-- ToshinoriMaeno 2021-05-01 12:04:07

対策: ../2016 実装されていないのが、残念。-- ToshinoriMaeno 2017-02-08 03:24:48

/警告の歴史

/2010 The Hitchhiker’s Guide to DNS Cache Poisoning http://www.cs.utexas.edu/~shmat/shmat_securecomm10.pdf

• 6th Iternational ICST Conference, SecureComm 2010, Singapore, September 7-9, 2010. Proceedings pp 466-483

Sooel Son and Vitaly Shmatikov The University of Texas at Austin

1. 毒盛手法と対策の歴史

Larry J. Blunk: Cache Poisoning: How to Avoid DNS Exploitation http://www.merit.edu/mjts/pdf/20081007/Blunk_DNSCachePoisoning.pdf

http://www.secureworks.com/research/articles/dns-cache-poisoning/ DNS Cache Poisoning - The Next Generation

http://ftp.cerias.purdue.edu/schuba-DNS-msthesis.pdf Schuba: A Brief History of Cache Poisoning

https://www.secureworks.com/blog/dns-cache-poisoning

1.1. 悪意の毒盛のない時代

動かすだけで、満足だった時代

1.2. Kaminsky 以前

In 1993, Christoph Schuba released a paper entitled "Addressing Weaknesses in the Domain Name System Protocol"

Kumar, Postel, Neuman, Danzig & Miller : RFC 1536 Common DNS Implementation Errors and Suggested Fixes https://www.rfc-editor.org/rfc/rfc1536.txt

Common DNS Data File Configuration Errors https://www.rfc-editor.org/rfc/rfc1537.txt

1.2.1. Additional Section に毒を入れ放題

BIND に bailiwick rule が入った。　（それまでは権威サーバ・ゾーンサーバの運用者は毒盛し放題だった）

Around 1995, BIND addressed the Additional Section Exploit

• Required that records contained in Additional Section be “In Bailiwick”

BIND implemented randomization of transaction ID in 1997 (port のランダム化ではない。w）

In 1997, CERT released advisory CA-1997-22, describing a vulnerability in BIND, the Berkeley Internet Name Domain software which is used by nearly all of the nameservers on the Internet.

参考：　RFC2181 July 1997

https://tools.ietf.org/html/draft-pappas-dnsop-long-ttl-02

In 2002, Vagner Sacramento released an advisory showing another problem with BIND's implementation of the DNS protocol. http://www.rnp.br/cais/alertas/2002/cais-ALR-19112002a.html

Observed DNS Resolution Misbehavior https://www.rfc-editor.org/rfc/rfc4697.txt

http://www.ciac.org/ciac/bulletins/r-333.shtml BIND Version 8 Vulnerable

BIND 8 is End of Life since August 2007.
See the BIND 8 End Of Life Announcement.

http://www.isc.org/index.pl?/sw/bind/view/?release=8.4.7 BIND4/BIND8 Unsuitable for Forwarder Use

If any nameserver, whether BIND or not is configured to use forwarders,
then none of those target forwarders should be running BIND4 or BIND8.
Upgrade all nameservers used as forwarders to BIND9.
There is a current, wide scale Kashpureff-style DNS cache corruption attack
which depends on BIND4 and BIND8 as forwarders targets.

1.2.2. CNAME による毒

/CNAME

1.3. Kaminsky と Mueller の指摘

http://www.kb.cert.org/vuls/id/800113

Answer Section あり； Authority Section + Additional Section (in bailiwick; evil IP address)

Kaminsky の例では毒が入らないという話 2008, 2009, 2011

1.4. Kaminsky 以降

DNS/毒盛/AncillaryDataAttacks

http://cloud.watch.impress.co.jp/epw/cda/security/2008/08/28/13724.html

• DNSの生みの親・モカペトリス氏が語る、キャッシュポイズニング脆弱性の現状

「ポートランダム化もすでに破られている」

「ある実験では、GbEで2台の機器を使用し、10時間で60億分のパケットを投げた結果、 USPRの防御が10時間で突破されてしまった。 しかもこの実験者はツイていなかった。 平均すると、この攻撃はもっと早く効果を発揮するのが分かっている。 もし、この攻撃にボットネットが利用されたら時間はもっと短くなるだろう。 .comや.jpのネームサーバーを攻撃すれば、下位のすべてのネームを所有することができてしまう、非常に危険な攻撃なのだ」

Nominumが発表したVantioの最新パッケージでは、カミンスキー脆弱性も確率論的にではなく完全に保護することが可能という。

https://www.kb.cert.org/vuls/id/800113

https://tools.ietf.org/html/draft-ietf-dnsext-forgery-resilience-10

DNS/毒盛/The Hitchhiker’s Guide to DNS Cache Poisoning

http://fit.hcmup.edu.vn/~hienlth/COMP1049/Seminar_Topic/Network/7.%20NitroSecuritys_Kaminsky_DNS_Solution.pdf

1.5. いわゆる浸透問題、 Ghost Domain Names 脆弱性

DNS ゾーンサーバ（いわゆる権威サーバ）の移転方法の間違った説明など。　

• JPRS のおすすめ方法も前提が問題だ。　そして、移転通知返答の欠陥（毒盛脆弱性）へとつながる。

DNS cache poisoning: still works and still makes lots of damage https://isc.sans.edu/diary/DNS+cache+poisoning%3A+still+works+and+still+makes+lots+of+damage/11107

GDN 2012

• ISC (BIND提供者）が当初どういうコメントをしていたか、調べてみるとよい。

親子ゾーン同居関連の脆弱性： DNS/共用DNSサービスの危険性

1.6. 開いたパンドラの箱 2014

Mueller の指摘は反映されていなかった。

• NSレコードがキャッシュされることのまれな名前に対する委譲（委任）毒

これとは別に、NSレコードがキャッシュにあっても、いわゆる「権威DNSサーバ」からの返答に含まれるNSレコードで

• キャッシュを上書きするという実装の脆弱性をつく攻撃も可能であることが分かっている。（JPRSは触れようとしないが）

-- ToshinoriMaeno 2015-09-14 16:22:02

開いたパンドラの箱: http://www.e-ontap.com/blog/20140415.html

頂上は如何に攻略されたか： http://www.e-ontap.com/blog/20140617.html

http://www.e-ontap.com/dns/pandora_ieice.pdf

1.7. JPRS の立場説明

http://www.janog.gr.jp/meeting/janog34/doc/janog34-dnsvl-morishita-1.pdf

Security Issuesへの取り組みと対応
―「ちゃんと」「きちんと」伝えるためにできること―
～キャッシュポイズニングの手法を題材に～
2014年7月17日 JANOG34 Meeting
株式会社日本レジストリサービス（JPRS）森下泰宏（Yasuhiro OrangeMorishita）

ご意見・ご議論いただきたい内容
  • 今回の対応は適切だったのか？
     初動・調査から修正依頼・対外広報までの取り組み

内容が説明されていないのに、議論はできないと思う。　-- ToshinoriMaeno 2014-07-29 10:36:40

• きっかけの連絡をしたものとしては、まったく感心できない不適切な対応だったと考える。