MoinQ:


[DNS/abuse DNS/セキュリティ

DNS/hijacking は用語としては適切ではないと考える。

/ドメイン乗っ取り

フラグメント化とフラグメントすり替え攻撃の危険性を再認識した。
 中京大の鈴木教授に感謝する。教授の指摘したNS毒盛以外にも危険性がある。
----
DNS(の実装)は脆弱です。脆弱性の百貨店です。カバーすべき運用ではカバーしきれていません。
  DNSを信用するのは危険です。接続した相手が目的のサイトかどうか確認する手段を探しましょう。

だからと言って、この記事のまま放置しておいてはまずいでしょう。 https://twitter.com/OrangeMorishita/status/988958907455258625

「BGPとDNSの脆弱性はよく知られていて、過去にも攻撃が発生していた。
しかし両方を組み合わせたこれほど大規模な攻撃を目にしたのは初めて。
インターネットセキュリティがいかに脆弱かを物語る」。

「XXのDNSがハイジャックされ」という間違い記事が拡散してしまっていますから、もう手遅れでしょう。

DNS/セキュリティ http://www.e-ontap.com/blog/20141107.html

リゾルバー(キャッシュサーバー)はKaminsky流手法による毒盛攻撃に弱いものが多い。(UDP利用の場合)

DNSSECによって回避できると主張するひともいるが、それが証明されたとは思えない。

-- ToshinoriMaeno 2017-12-17 11:23:41

TCPをサポートするのは以前から必須であり、現在はUDPを使わなくてもよいとなっている。

DNS/脆弱性

DNS/privacy DNS/qname-minimisation

http://conferences.sigcomm.org/sigcomm/2004/papers/p595-pappas111.pdf

DNSという実験的プロトコルにはさまざまな脆弱性が存在する。

また、実装によって引き起こされた脆弱性もあり、運用で回避するしかないものもある。

-- ToshinoriMaeno 2017-12-17 11:21:45

1. ドメイン名

1.1. 登録代行業者

いわゆるレジストラ

1.2. 捨てられるドメイン名

いろいろありますね。

1.3. 紛らわしいドメイン名

防衛的にドメインを取らせようとする業者も。

2. ゾーンサーバー

実装の欠陥、いろいろ。NXDOMAIN 返答

2.1. ゾーンファイル

設定不良、いろいろ

2.2. 共用ゾーンサービス

/共用ゾーンサービスは乗取に脆弱なことが多いようだ。

2.3. キャッシュ兼用サーバ

登録に制限がないと怖いことに。

3. リゾルバー

3.1. キャッシュ毒盛

共用キャッシュサーバーは脆弱かも。ISPの提供するものは信用したくない。

ニセ返答を受け入れさせて、キャッシュさせる。

3.2. リゾルバー実装

DNS/鬼域名 で見られたような/リゾルバー 実装の不備

4. レジストラ

DNSに関係しない手法で侵入される例があった。手口は公表されていない。対策も不明。

4.1. 管理権限奪取

ccTLD レジストリを含む

5. gTLD

Emergency Back-End Registry Operator program. EBERO

もうDNSSECを使うくらいか。 

DNS情報を信用してはいけない。他の手段で確認すること。

5.1. DDoS

http://www.shortestpathfirst.net/2009/11/12/hardening-dns-against-reflection-attacks-and-flooding-attacks/

5.2. 人、組織

キャッシュをクリアするくらいしかできないと思っているひとたちも


-- ToshinoriMaeno 2015-07-12 22:54:52

MoinQ: DNS/脅威 (last edited 2023-07-13 00:58:56 by ToshinoriMaeno)