「DNS　基礎とか」

 DNSの理解は結構難しい…。　DNSの仕組みについて理解出来ているか？

・『DNSサーバ』　という言葉について

　・参照サーバ　=　キャッシュサーバ　　  /etc/reslov/conf に書くDNSサーバ

　・権威サーバ  =  コンテンツサーバ

・ツール

 ISC-BINDに含まれる

 問い合わせパケット工作

 応答パケット成形

 

 aa:　問い合わせている鯖が自前で持っているデータ

 tc:  問い合わせが分離して、通常条件を変えて再問い合わせする

 rd;   再帰問い合わせが求められる

 ra:   再帰問い合わせが利用可能

 ad:  DNSSEC著名検証に成功した

・キャッシュサーバ

 

・コンテンツサーバ

自分の知っているデータしか返さない

 

webで読めるもの

 RFC

 

DNS　の参考書

　ない。実践DNS

・ポインタ

 

まとめ

キャッシュサーバとコンテンツサーバは分けよう

dig

 

 

「崩れ行く砂山DNS(前編)」

　・毒入れの基本

　　　のどかな時代の毒入れ

　10数年前までは毒入れ放題だった

　

　毒入れの基本

　　権威サーバのIPアドレス(数個)

　　ソースポーと番号(固定 or 16bit)

    トランザクションID (16bit)

　　・本物の応答より速く嘘を突っ込む

　　　 Round Trip Time(数十ms程度)の間

　　・キャッシュがからの時だけがチャンス

　　　 TTLが短いドメイン名は危ない　　　　　　　　キャッシュがあれば　毒入れることが出来ない。　TTLが終わるまで攻撃出来ない…

　　・追加節への毒入れにはもう１つ重要な条件が…

　　　　⬆　In-bailiwickが必要だった。　

 

　カミンスキー攻撃

　・引き金は攻撃者が引く　

　・存在しない名前を次々問い合わせて、TTLをなる？w

 

　・本物の応答のキャッシュは邪魔にならない

 

　・ポート番号固定のBINDはイチコロ

 

１）何かを呼びかけて、キャッシュが届くまでに　ガンガン攻撃する。のが本当

　　　　しかし、カミンスキー攻撃は 存在しない、URLを聞きまくるので、

　　　　ずーっと、ガンガン攻撃出来る。　　　　　　　　　　　　　　　　　　　？？なにをガンガン攻撃しているのか？　ポート番号　TX ID　トランザクションID を送りまくる！

 

　　

　　fail …しそこなう、できない

    typo … ミスプリント

 

　・カミンスキーバグ

　　DNSSECが宣伝されたが…

　　しかし、毒が入らない。

　　

なぜなら　毒が入るのはバグのある BING　　

　　　・2009年冬のCVE-2009-4022で修正された

　　しかし！毒入れする方法がある。

　　　　(内緒/手間だし足がつきやすくなる）

 

Androidに脆弱性がある？

　　存在しない名前で毒入れが危ない

Cookieへの攻撃

 

　・DNSアンプ攻撃

・もっとも容易なサイバーテロ手法

　　　・３月にルートサーバ攻撃予告

　　・オープンゾルバを解消しましょう

　　　・毒入れや幽霊にも脆弱

　　・最近、大量の ANY の問い合わせ

　　・DNSSECも良い踏み台

　　・named.conf minimum-respoinse yes

 

　・Lame Delegation の乗っ取り

異常もとがちゃんと応答しない　　　　　　存在しないサイトに権威を与えていたら何が危ないのか？

　　DNS Rebinding 攻撃

　　　対策： Unbound の　private-address　を設定する

　・DNS 浸透？

　　　・ネガティブキャッシュが知られていない？　　

　　　・JPサーバの更新が１日１回だったころのトラウマ？　

　　　・DNS pinning ?

     ・古いキャッシュがTTLを超えても消えない現象が発生 (TTL上書き問題)

      ・古い権威サーバの古いデータが原因

　　　・BIND 9.2.3　で対策された(はずだった)… 

 

　・幽霊　ドメイン名脆弱性

キャッシュ

　　 www.example.jp   

      example.jp 権威

　　　ns1.example.jp

    権威サーバ書き換え

　　　example.jp   から　 ns2.example.jp

      ・中古ドメイン名に幽霊（あなたのドメイン名は本当に新品？）　新品かちゃんと調べる必要がある。

　　　

 

 

「崩れ行く砂山DNS(後編)」

 

　・共有DNSサーバのリスク

　　・「サービス運用上の問題に起因する

　　　　ドメイン名ハイジャックの脆弱性について」

　　　　2012/6/22

  　 ・こういうゾーンがあるサーバに

　　　　example.jp と

　　　　www.example.jp という　２つのサーバが出来てしまったら？

www.example.jp IN A 192.0.2.100　という悪意のあるサイトが選択される。

 

　　そうじゃなくても、

 

　　共有DNSサーバのリスク　　　　同じような

　　・　そのドメイン名誰の者？　どうやってチェックするの？

　　・　脅威

　　　　・登録DoS(居座り)

   ・幽霊を作れる

　　　　・サブドメインを作る

　

共有サーバ

　　　　「権威/キャッシュDNSサーバの兼用によるDNSポイズニングの脆弱性について」

　

　・ガバナンスの問題　　 / 　ガバナンス不在

　　「お名前」による「忍者ツールズ」ハイジャック

　忍者ツールズ全サービスが表示付加となる障害につきまして　2012/7/13　お客様各位

　忍者ツールズ　ユーザサポート　/ お名前.com お客様センター

 

まとめ

　共有サーバ、lame委譲、オープンリゾルバ、固定ポートは危険