DNS/hijacking DNS/lame_delegation
フラグメント化とフラグメントすり替え攻撃の危険性を再認識した。
 中京大の鈴木教授に感謝する。教授の指摘したNS毒盛以外にも危険性がある。
----
DNS(の実装)は脆弱です。脆弱性の百貨店です。カバーすべき運用ではカバーしきれていません。
  DNSを信用するのは危険です。接続した相手が目的のサイトかどうか確認する手段を探しましょう。

だからと言って、この記事のまま放置しておいてはまずいでしょう。 https://twitter.com/OrangeMorishita/status/988958907455258625

「BGPとDNSの脆弱性はよく知られていて、過去にも攻撃が発生していた。
しかし両方を組み合わせたこれほど大規模な攻撃を目にしたのは初めて。
インターネットセキュリティがいかに脆弱かを物語る」。

「XXのDNSがハイジャックされ」という間違い記事が拡散してしまっていますから、もう手遅れでしょう。

DNS/セキュリティ http://www.e-ontap.com/blog/20141107.html

リゾルバー(キャッシュサーバー)はKaminsky流手法による毒盛攻撃に弱いものが多い。(UDP利用の場合)

DNSSECによって回避できると主張するひともいるが、それが証明されたとは思えない。

-- ToshinoriMaeno 2017-12-17 11:23:41

TCPをサポートするのは以前から必須であり、現在はUDPを使わなくてもよいとなっている。

DNS/脆弱性

Include: Nothing found for "^----$"!

DNSには脆弱性がある。DNSを信用するのは危険だ。
  安全に運用するのは困難だ。

だが、代替するものがない。w
  DNSSECは複雑であり、手間に見合う効果は期待できない。

DNS脆弱性は運用により作られる。-- ToshinoriMaeno 2021-03-25 04:58:15

DNS/なりすまし をどうぞ。DNS/ドメイン名/ハイジャック

関連項目: DNS/セキュリティ DNS/脅威

1. DNS/脆弱性

あまりに雑多で、未整理のページです。

DNS/毒盛/2020/saddns.net

/運用 /リゾルバー

https://duo.com/blog/the-great-dns-vulnerability-of-2008-by-dan-kaminsky

DNS/毒盛

DNS/類似ドメイン名

2016: A Skeleton Key of Unknown Strength

https://threatpost.com/kaminsky-dns-insecurity-isnt-coincidence-its-consequence/111094

  • Kaminsky: DNS Insecurity Isn’t Coincidence, it’s Consequence

JPRSからの注意喚起一覧: https://jprs.jp/tech/index.html#dns-notice

  • セキュリティ情報

1.1. UDPを使うことによる脆弱性

あなたのネットワーク、DNS サーバのネッテワークに直接アクセスできるなら、(Man In The Middle) 偽の DNS 情報を送りこむのは簡単です。

  • DNS Spoofing : http://D/forgery.html DNS での騙り] (D. J. Bernstein; DNS についてのノートより)

「あなたのネットワークにアクセスできる攻撃者なら簡単にあなたのDNS問合せに対して返答を偽造できる。」

そうでなくとも、DNS/1/UDP には弱点が多数あります。

UDPは中間者攻撃では簡単に攻略できます。

  • そこで以降、原則として中間者攻撃は扱いません。


1.2. リゾルバーへの毒盛

DNS/毒盛

1.3. DNS の構造からくる問題

DNS は階層構造になっています。 つまり、上位のサーバの動作に完全に依存しています。

  • ルートサーバの IP アドレスの取得方法: djbdns はルートサーバの IP アドレスをファイルに保持することで、毒入れに対抗しています。
  • ルートサーバへのDoS攻撃: ルートサーバは複数ありますが、 DoS攻撃への耐性は不十分です。
  • TLD サーバのアドレスをローカルに持てば、 ルートサーバに頼ることなくインターネット接続を維持できます。
  • 問題は TLD サーバにアクセスできなくなるケースです。

NS レコードの TTL を短かくすると、上位サーバへのアクセスを増します。 上位がダウンしたときにあなたのドメインにアクセスできなくなる危険もあります。

1.3.1. Ghost Domain Names 脆弱性

BINDの対応は不十分だ。他のリゾルバーはどうか。

1.3.2. 上位サーバへの登録の間違い

DNS データが間違っていたら、 利用者は本来の相手ではなく悪意のあるサイトに接続する危険があります 。 ['dns hijack'と呼ばれます。]

  • かつてvisa.co.jp の DNS 設定が危険な状態になっていました。 http://www.e-ontap.com/

  • こういう危険な間違いは他にも見つけていますが、 連絡しても『問題はない』と受けつけてくれない管理者が大部分です。被害を受けるのは利用者なのに。

1.3.3. 上位サーバに登録した名前と異なる名前の DNS サーバ

アクセス出来なくなること(時)がありそうです。

1.4. DNS 運用の脆弱性について

1.4.1. 第三者 DNS サービスの危険性

自宅の鍵をあずけるようなものです。 親切そうだというだけで、100 % 信用してしまっていいのですか。

BIND など「DNS サーバのセキュリティホール」は対策されていることを前提にします。

1.4.2. DNSゾーンサービスの危険性

2012年に指摘したさくらの共用DNSサービスの弱点はいまも残っているらしい。

  • 無責任な運用だと言える。

1.4.3. レジストラ/レジストリの脆弱性

1.4.4. コンテンツサーバで再帰検索を許すのは DoS 攻撃を受けやすくなります

DNS/キャッシュサーバへの毒盛される可能性があります。 http://D/separation.html DNS キャッシュを DNS サーバから分離することが重要です。

http://www.securityfocus.com/guest/17905 DNS Cache Poisoning - The Next Generation

  • あなたのサイトが侵入されたと誤解するかもしれません。
  • あなたのサイトにメイルを送ってくる人やアクセスしてくる人に危害が加えられるかもしれません。
  • つまり、あなたは加害者になってしまうのです。

[http://dns.qmail.jp/survey/obattack.html The out-of-domain NS registration attack] (D. J. Bernstein; Bugtraq への投稿)

  • ゾーン外の名前を使うことの危険性:そのゾーンを 100 % 信用できますか。

[http://dns.qmail.jp/nic/jpTLD.html jp TLD サーバの問題]

  • JPNIC データベースに登録する権限を持っているのは誰か。安全か。

1.5. TCP を使う

https://tools.ietf.org/html/rfc7766

DNS/privacy DNS/qname-minimisation

http://conferences.sigcomm.org/sigcomm/2004/papers/p595-pappas111.pdf

DNSという実験的プロトコルにはさまざまな脆弱性が存在する。

また、実装によって引き起こされた脆弱性もあり、運用で回避するしかないものもある。

-- ToshinoriMaeno 2017-12-17 11:21:45

2. ドメイン名

2.1. 登録代行業者

いわゆるレジストラ

2.2. 捨てられるドメイン名

いろいろありますね。

2.3. 紛らわしいドメイン名

防衛的にドメインを取らせようとする業者も。

3. ゾーンサーバー

実装の欠陥、いろいろ。NXDOMAIN 返答

3.1. ゾーンファイル

設定不良、いろいろ

3.2. 共用ゾーンサービス

/共用ゾーンサービスは乗取に脆弱なことが多いようだ。

3.3. キャッシュ兼用サーバ

登録に制限がないと怖いことに。

4. リゾルバー

4.1. キャッシュ毒盛

共用キャッシュサーバーは脆弱かも。ISPの提供するものは信用したくない。

ニセ返答を受け入れさせて、キャッシュさせる。

4.2. リゾルバー実装

DNS/鬼域名 で見られたような/キャッシュサーバー実装の不備

5. レジストラ

DNSに関係しない手法で侵入される例があった。手口は公表されていない。対策も不明。

5.1. 管理権限奪取

ccTLD レジストリを含む

6. gTLD

Emergency Back-End Registry Operator program. EBERO

もうDNSSECを使うくらいか。 

DNS情報を信用してはいけない。他の手段で確認すること。

6.1. DDoS

http://www.shortestpathfirst.net/2009/11/12/hardening-dns-against-reflection-attacks-and-flooding-attacks/

6.2. 人、組織

キャッシュをクリアするくらいしかできないと思っているひとたちも


-- ToshinoriMaeno 2015-07-12 22:54:52