1. NEWS

The domain — scpt-network.com — was one of two nameservers for the .cd country code top-level domain, assigned to the Democratic Republic of Congo.


Oct  1 23:09 2020
cd @igubu.saix.net
cd @ns-root-1.scpt-network.net
cd @ns-root-2.scpt-network.net
cd @ns-root-5.scpt-network.net
cd @sabela.saix.net
cd @sangoma.saix.net

Mar 11  2017
cd ns1.pch.nic.cd
cd igubu.saix.net
cd sabela.saix.net
cd dns.princeton.edu

対策が持ち越されている脆弱性: lame delegation, SADDNS, fragmentation attack, cache poisoning

DNSSECに頼るのは、負担が大きすぎる。-- ToshinoriMaeno 2021-01-09 07:31:07
- UDPの利用を減らし、TCPを利用するのがよい。

sharp TLD サブドメインの問題 : 欠陥設定をするところがTLDを運用しているとは。

1.2. 2020

JPRS によるまとめ(騙されないように) https://jprs.jp/related-info/important/2020/201224.html

DNS/gTLD/sharp サブドメインの設定は間違いだらけ。

DNS/saddns 対策はお済みですか。https://www.saddns.net/

DNS/lame_delegation 共用DNS(ゾーン)サービスの弱点を利用するDNS/乗取が可能です。

DNS/脅威/共用ゾーンサービス

DNS/flag_day/2020 フラグメント化された返答は一部をすり替えて毒盛されます。

Three Ways DNS is Weaponized and How to Mitigate the Risk https://threatpost.com/three-ways-dns-is-weaponized-and-how-to-mitigate-the-risk/142759/

The Five Most Dangerous New Attack Techniques https://www.eweek.com/security/the-five-most-dangerous-new-attack-techniques

1.3. 2019

レジストラ(アカウント)を狙った攻撃が多発しているようです。-- ToshinoriMaeno 2019-03-20 00:03:47

Emergency Directive 19-01 https://cyber.dhs.gov/ed/19-01/

January 22, 2019 Mitigate DNS Infrastructure Tampering

Feb 19 A Deep Dive on the Recent Widespread DNS Hijacking Attacks https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/

DHS(CISA) : DNSハイジャックへの警告 https://cyber.dhs.gov/ed/19-01/

https://cyber.dhs.gov/blog/#why-cisa-issued-our-first-emergency-directive

ICANNによる便乗宣伝(DNSSEC)

Measures against cache poisoning attacks using IP fragmentation in DNS https://tools.ietf.org/html/draft-fujiwara-dnsop-fragment-attack-01

Fingerprint-based detection of DNS hijacks using RIPE Atlas https://www.ietf.org/proceedings/99/slides/slides-99-maprg-fingerprint-based-detection-of-dns-hijacks-using-ripe-atlas-01.pdf

Knot resolver 1.2.6を入れたら、実用的には十分な毒盛対策が入っていたので、

しばらくはこれを使ってみます。kresd

DNS入門と DNSの基礎をまとめはじめました。

まずはこれらを見て、基礎を確認してください。

-- ToshinoriMaeno 2016-12-09 23:15:18

Knot Resolverを少し手直しして、使いはじめました。

毒盛対策は十分です。-- ToshinoriMaeno 2017-05-19 00:24:07

DNS/1/security, DNS/セキュリティもご覧ください。

DNS毒盛以外にもさまざまな弱点があります。運用には特に注意です。

-- ToshinoriMaeno 2017-01-17 01:30:22

DNS/ハイジャック : さまざまな使い方をされています。

レジストラ情報の書き換えから、ルーター設定の変更まで。

domain Connect: https://engineering.godaddy.com/seamlessly-connecting-domains-services-domain-connect-2-0/

Knot Resolver 1.1.0

DNS/TLS, DNS Cookiesがサポートされたが、もっと単純なDNS毒盛対策はまだだ。 off-path 毒盛に対応するといいながら、バランスを欠く対応だと思いませんか。

-- ToshinoriMaeno 2016-08-12 11:40:56

DNS/実装/リゾルバー計画始動; 完成するかは不明； python/dnslib 利用 -- ToshinoriMaeno 2016-08-18 07:50:38

ふだん使っているunboundで、外部問い合わせにはTCPだけを使うように設定してみました。

unbound.confでの関連項目

       do-tcp: yes
       tcp-upstream: yes

接続が非常に遅くなったサイトがありますが、接続できないところには当たっていません。 -- ToshinoriMaeno 2016-08-06 11:47:07

接続できないところが複数あって、今はUPDも使うように戻しました。-- ToshinoriMaeno 2016-08-12 11:40:56

../python-dnslib こんなに使えるツールを知らなかったとは。-- ToshinoriMaeno 2016-07-26 23:12:16

https://www.icann.org/en/system/files/files/final-report-20jun12-en.pdf

Final Report of the Security, Stability and Resiliency of the DNS Review Team 20 June 2012

Kaminsky流攻撃によるNS毒盛は簡単に防御できます。

毒盛されるのはリゾルバー実装の欠陥です。

RFCで禁止されていないから不良ではないという主張はセキュリティに配慮しない時代の話です。　-- ToshinoriMaeno 2016-06-17 23:22:56

http://www.efficientip.com/resources/white-paper-dns-security-survey-2016/

most businesses still rely on the 'out-of-the-box’non-secure DNS servers offered by Microsoft or Linux servers.

https://www.petekeen.net/dns-the-good-parts

Domain Name System (DNS) Cookies May 2016 DNS/1/security/cookies

https://tools.ietf.org/html/rfc7873

With the use of DNS Cookies, a resolver can generally reject such forged replies.

Cookieを使えるなら、off path attackは気にする必要はなくなるか。普及すれば。

WPAD関連の静寂性：　新たなgTLDとの関連

漏れだすDNS問い合わせ

netとcomのサーバが同居していることからくる混乱 (Verisign)

TLD/net TLD/com リゾルバーの実装不良も
- root-servers が返してくる*.gtld-servers.netのAレコードを
- キャッシュにAレコードとして入れてしまっていることで、解決できているのが現状らしい。

このことはglueはキャッシュに入れないという実装を使って確認した。-- ToshinoriMaeno 2016-04-18 06:47:33

DNSSECを使っているなら、out-of-bailiwick Aレコードをキャッシュしても問題はないという主張があるが、多分間違いだろう。-- ToshinoriMaeno 2016-04-18 06:47:33

DNS/返答/NXDOMAIN を活用して、毒見する。

DNS/毒盛/Kaminsky手法/対策はある

UDP checksum 0 問題　(これもVerisign) DNS/1/UDP/fragmentation

Ciscoの障害：2016-03-19 https://www.reddit.com/r/networking/comments/4b2bgo/cisco_website_is_down/d15iu63

www.cisco.comが一時消滅していたようだ。watchWWW/cisco.com

徳丸さんによる記録：

http://kawaguchi.tokyo.jp/dig-cisco.txt

存在しないときの返答はこうなる。

$ dig nonexistent.cisco.com @ns1.cisco.com

; <<>> DiG 9.9.5-3ubuntu0.8-Ubuntu <<>> nonexistent.cisco.com @ns1.cisco.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 34555
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;nonexistent.cisco.com.         IN      A

;; AUTHORITY SECTION:
cisco.com.              86400   IN      SOA     edns-aln1-1-l.cisco.com. postmaster.cisco.com. 16034550 7200 1800 864000 86400

;; Query time: 155 msec
;; SERVER: 72.163.5.201#53(72.163.5.201)
;; WHEN: Sat Mar 19 21:19:05 JST 2016
;; MSG SIZE  rcvd: 111