1. DNS/歴史/2012
Contents
DNS/脆弱性/GhostDomainNames DNS/毒盛/fragmentation
DNS/脅威/共用ゾーンサービス さくらでの発見
/お名前と忍者 レジストラによる乗取 (その後のzohoなども)
ICANNをはじめとするDNS業界の腐敗がよく見えた年だった。
入門のはずがとてもむずかしいチュートリアルのあったセミナーもあった。
- ここでもなにがDNSの基礎かの認識が十分ではなさそうだ。
2011年の「浸透いうな」、「浸透都市伝説」に続き、 新年すぐに幽霊ドメイン名脆弱性が報告された。
BINDでの再現性を確かめているうちに、さくら共用DNSの問題に気づいた。 DNSの根幹にからむ問題であった。
いまも解決していない。無謀なサービスと言える。
1.1. DNS(検索)は結果がすべて
設定者が設定した意図どおりに検索結果が返らないものは間違いである。
- セキュリティ欠陥、脆弱性である。
1.2. Ghost Domain Names
「浸透いうな」話を理解していれば、すぐに問題点は理解できたはずだ。
レジストラなどに強制削除されてもキャッシュされたドメイン情報を居座りさせる方法
ISCがいうには「DNSプロトコルの欠陥で高レベルの脆弱性である」。すぐには修正できないと言っていた。
- でも、unboundには脆弱性はないというではないか。
- 結局は修正しない訳にはいかず、ひっそりと修正が入った。 djbdns/dnscache にはこれ以前に「浸透しない」問題が発生するという話もある。
分からなかったのは、BINDの振る舞いだ。どういうデータを与えると幽霊が残るのか。
NS 値の名前を変えるというのがポイントだった。BINDのアドホックなKaminsky型攻撃対策が関係していた。
おかげで、浸透問題がDNS権威サーバの移転手順の問題ではないことがはっきりした。
- キャッシュサーバの実装上の問題だ。(dnscacheにもある)
非協力的運用者が問題になるのはDNSSEC対応サーバの移転の場合だ。
1.3. 共用DNS権威サーバの危うさ
DNS/共用ゾーンサービス/さくら ードメイン登録)を発見して、田中社長に通知したが、なかなか治らない。(4月初旬)
- 当初は簡単に治る問題だと思ったが、待っている間に根の深い問題だと気づく。
ドメインメニューにおける仕様変更のお知らせ http://support.sakura.ad.jp/mainte/newsentry.php?id=7585
ドメインメニューからゾーンを追加する際、既に異なる会員IDで下位ゾーン(※) が登録されている場合は、ゾーンの追加ができなくなります。
2012年06月08日(金)
6月初めに確認していたら、サブドメイン登録までできるという不良を発見した。
- 社長には連絡が途絶えていたので、あらたな連絡方法として徳丸浩氏に動いてもらうことにした。
- tokumaru.org がさくらDNSサービスを利用していたのが、大きな理由である。
- サブドメインを作って見せたから、さぞかし驚いたことだと思っている。(徳丸浩のblog 参照)
- DNSサービスへのドメイン登録時における不具合について (6/13, 6/22)
- tokumaru.org がさくらDNSサービスを利用していたのが、大きな理由である。
さくら運用の問題: ドメイン(ゾーン)登録時に持ち主かどうかの確認をしていない。
使っているサーバの問題: 委譲されていないのに委譲されているかのごとく不正なドメイン(ゾーン)を受け入れる実装
さくら広報の問題: 問題点を理解しているとは思えないお知らせ。(きちんと説明できる技術者がいないのだろう。)
- 脆弱性の修正を単なる仕様変更と呼び、利用客には危険性を伝えないというひどさ。
ドメイン所有者の管理のずさんさにはあきれる。原野商法で売りつけられたドメインだからかも。
visa.co.jp よりもずっと簡単に乗っ取れるという話。ドメインの失効を待つひつようがない。
21-domain.com がダメダメという件: tss/To_Maeno/2012-06-23 (アクセス制限)
tss (2012-10-12 16:38) http://www.e-ontap.com/blog/20120701.html DNS Summer Days 2012 http://dnsops.jp/event20120831.html において、
- 確認が困難であることをさくらの田中社長が述べています。当分対策は進まないでしょう。
一方で、Marverick は新規申し込みを停止しました。こちらのほうが誠実でしょう。
https://ssl.marverick.com/service/dns (止めれば安全というわけでもないですが)
DNS Summer Days 2012 のさくら社長の講演の記録は公開されていないらしい。(記録がないのかも)
- ビデオが残っていればいいが。
それにしても、お知らせで書いたことが守れないのであれば、訂正なり代案を出すなりすべきです。 -- ToshinoriMaeno 2012-11-25 01:27:40
DNS/サービス/dozens 対応がダメダメだった。(言っていることが信用できない)
1.4. お名前.comレジストラによる忍者ドメインの乗っ取り
レジストラが権限を逸脱したように見えるのに、レジストリであるJPRSがなんのアクションもしないという不思議よ。
安全を宣伝するJPRSがなにもしないのはJPドメインの価値が他のTLDドメインと変わらないことを示した。
1.5. 原野商法としての gTLDや都道府県型JPドメイン
実世界のブランドに寄生するドメイン業者(ICANN)
共用DNSサービスに深刻な影響を与えるだろう。
gTLDレジストリとしてまともに運用ができる業者がどれだけあるのだろう。
1.6. query source port 固定リゾルバー
利用者に対して警告表示したのが効果を示したかどうかは疑問だが、 ポート固定リゾルバーは減少しているようなので、qmail.jp では警告表示をやめた。
ただし、DNS(権威)サーバでは返答をしないこととした。 そして、権威サーバとは兼用でないことを確認できたものはドメイン名を公表することとした。 -- ToshinoriMaeno 2012-11-25 11:27:47
source port 53 のものにうっかり返事をするとDoSに利用される。返答しないのがよい。
友人の使っていたリゾルバーがport 固定だった。:-<
wiki にアクセスできないとの連絡で発覚。まあ、よかったということに。-- ToshinoriMaeno 2012-11-30 04:12:55
1.7. レジストラが乗っ取られた
1.7.1. ie TLD
joomla の不良だそうだ。
On Nov. 9, the .IE Domain Registry (IEDR) issued a statement saying that the incident was the result of hackers exploiting a vulnerability in the registry’s website.
1.7.2. google.com.pk などのDNSレコードが書き換えられた
PKNICに侵入されて、ゾーンが書き換えられたらしい。PKNICの報告
1.7.3. google.ro などのDNSレコードが書き換えられた
8.8.8.8, 8.8.4,4 で発覚したらしいが、OpenDNS などにも偽サイトのAレコード。 11/27 ? -- ToshinoriMaeno 2012-11-30 04:10:40
ro ISPではhijackを観察していないとの記事もある。レジストリではないのかも。
1.8. facebook.com DNS エラー
一部で使えなくなったのか、DNSの修正の間違いだったという説明だが、よく分からない。
1.9. tumblr.com DNS
こっちはネットワークのトラブル対策でDNSが利用されたということらしい。
1.10. DNS エラー
twitter で 「DNSエラー」 という悲鳴を見かけたので、調べてみた。
1.11. 512 バイト越え問題
DNSエラーのなかにはiOSのダウンロードができないという話と類似のものがあった。
- Win8 がダウンロードできないというもので、どうやらDNS返答が512バイトを越えて いることが関係しているらしい。(ocn 光モデム関連?)
http://iphone.apple-stream.com/ios-5-1_dns_trouble/
http://www.e-ontap.com/blog/20120309.html iOSアップデートの罠
-- ToshinoriMaeno 2012-12-15 23:49:57
ブロードバンドルータに 512byteを越える応答が扱えない障害を抱えています。 あるいは ISP の DNSキャッシュサーバが TCP や EDNS0 に対応していない可能性も排除できません。 途中のネットワークに TCP 53 をフィルターするファイアウォールが入っている可能性もあります。
1.12. FBIがDNS Changer対策用代替サーバーの運用を終了
さっさと止めるべきだったと思う。