DNSには脆弱性がある。DNSを信用するのは危険だ。
  安全に運用するのは困難だ。

だが、代替するものがない。w
  DNSSECは複雑であり、手間に見合う効果は期待できない。

DNS脆弱性は運用により作られる。-- ToshinoriMaeno 2021-03-25 04:58:15

/tss

DNS/なりすまし をどうぞ。DNS/ドメイン名/ハイジャック

関連項目: DNS/セキュリティ DNS/脅威

1. DNS/脆弱性

あまりに雑多で、未整理のページです。

DNS/毒盛/2020/saddns.net

/運用 /リゾルバー

https://duo.com/blog/the-great-dns-vulnerability-of-2008-by-dan-kaminsky

DNS/毒盛

DNS/類似ドメイン名

2016: A Skeleton Key of Unknown Strength

https://threatpost.com/kaminsky-dns-insecurity-isnt-coincidence-its-consequence/111094

JPRSからの注意喚起一覧: https://jprs.jp/tech/index.html#dns-notice

1.1. UDPを使うことによる脆弱性

あなたのネットワーク、DNS サーバのネッテワークに直接アクセスできるなら、(Man In The Middle) 偽の DNS 情報を送りこむのは簡単です。

「あなたのネットワークにアクセスできる攻撃者なら簡単にあなたのDNS問合せに対して返答を偽造できる。」

そうでなくとも、DNS/1/UDP には弱点が多数あります。

UDPは中間者攻撃では簡単に攻略できます。


1.2. リゾルバーへの毒盛

DNS/毒盛

1.3. DNS の構造からくる問題

DNS は階層構造になっています。 つまり、上位のサーバの動作に完全に依存しています。

NS レコードの TTL を短かくすると、上位サーバへのアクセスを増します。 上位がダウンしたときにあなたのドメインにアクセスできなくなる危険もあります。

1.3.1. Ghost Domain Names 脆弱性

BINDの対応は不十分だ。他のリゾルバーはどうか。

1.3.2. 上位サーバへの登録の間違い

DNS データが間違っていたら、 利用者は本来の相手ではなく悪意のあるサイトに接続する危険があります 。 ['dns hijack'と呼ばれます。]

1.3.3. 上位サーバに登録した名前と異なる名前の DNS サーバ

アクセス出来なくなること(時)がありそうです。

1.4. DNS 運用の脆弱性について

1.4.1. 第三者 DNS サービスの危険性

自宅の鍵をあずけるようなものです。 親切そうだというだけで、100 % 信用してしまっていいのですか。

BIND など「DNS サーバのセキュリティホール」は対策されていることを前提にします。

1.4.2. DNSゾーンサービスの危険性

2012年に指摘したさくらの共用DNSサービスの弱点はいまも残っているらしい。

1.4.3. レジストラ/レジストリの脆弱性

1.4.4. コンテンツサーバで再帰検索を許すのは DoS 攻撃を受けやすくなります

DNS/キャッシュサーバへの毒盛される可能性があります。 http://D/separation.html DNS キャッシュを DNS サーバから分離することが重要です。

http://www.securityfocus.com/guest/17905 DNS Cache Poisoning - The Next Generation

[http://dns.qmail.jp/survey/obattack.html The out-of-domain NS registration attack] (D. J. Bernstein; Bugtraq への投稿)

[http://dns.qmail.jp/nic/jpTLD.html jp TLD サーバの問題]

1.5. TCP を使う

https://tools.ietf.org/html/rfc7766

MoinQ: DNS/脆弱性 (last edited 2023-09-09 21:54:18 by ToshinoriMaeno)