Contents
DNS/hijacking は用語としては適切ではないと考える。
フラグメント化とフラグメントすり替え攻撃の危険性を再認識した。 中京大の鈴木教授に感謝する。教授の指摘したNS毒盛以外にも危険性がある。 ---- DNS(の実装)は脆弱です。脆弱性の百貨店です。カバーすべき運用ではカバーしきれていません。 DNSを信用するのは危険です。接続した相手が目的のサイトかどうか確認する手段を探しましょう。
だからと言って、この記事のまま放置しておいてはまずいでしょう。 https://twitter.com/OrangeMorishita/status/988958907455258625
「BGPとDNSの脆弱性はよく知られていて、過去にも攻撃が発生していた。 しかし両方を組み合わせたこれほど大規模な攻撃を目にしたのは初めて。 インターネットセキュリティがいかに脆弱かを物語る」。
「XXのDNSがハイジャックされ」という間違い記事が拡散してしまっていますから、もう手遅れでしょう。
- こんな調子でDNSに注目されてもありがたくないだろうし、DNSSECを売り込むのはみっともない。
DNS/セキュリティ http://www.e-ontap.com/blog/20141107.html
リゾルバー(キャッシュサーバー)はKaminsky流手法による毒盛攻撃に弱いものが多い。(UDP利用の場合)
DNSSECによって回避できると主張するひともいるが、それが証明されたとは思えない。
- また、DNSSECの運用には多大な手間がかかるので、普及は難しいだろう。
-- ToshinoriMaeno 2017-12-17 11:23:41
TCPをサポートするのは以前から必須であり、現在はUDPを使わなくてもよいとなっている。
今後はTCPだけを使うリゾルバーが増えるだろう。-- ToshinoriMaeno 2018-06-08 15:09:28
DNS/privacy DNS/qname-minimisation
http://conferences.sigcomm.org/sigcomm/2004/papers/p595-pappas111.pdf
DNSという実験的プロトコルにはさまざまな脆弱性が存在する。
- 多くは実装によって回避されているが、 運用によって回避されるものもある。(脆弱性は公表されることが少ない。)
また、実装によって引き起こされた脆弱性もあり、運用で回避するしかないものもある。
- しかし、実装の欠陥が運用で気づかれることは難しく、発現するものもある。
-- ToshinoriMaeno 2017-12-17 11:21:45
1. ドメイン名
1.1. 登録代行業者
いわゆるレジストラ
1.2. 捨てられるドメイン名
いろいろありますね。
1.3. 紛らわしいドメイン名
防衛的にドメインを取らせようとする業者も。
2. ゾーンサーバー
実装の欠陥、いろいろ。NXDOMAIN 返答
2.1. ゾーンファイル
設定不良、いろいろ
2.2. 共用ゾーンサービス
/共用ゾーンサービスは乗取に脆弱なことが多いようだ。
2.3. キャッシュ兼用サーバ
登録に制限がないと怖いことに。
3. リゾルバー
3.1. キャッシュ毒盛
共用キャッシュサーバーは脆弱かも。ISPの提供するものは信用したくない。
ニセ返答を受け入れさせて、キャッシュさせる。
DNS/毒盛 で解説。
3.2. リゾルバー実装
4. レジストラ
DNSに関係しない手法で侵入される例があった。手口は公表されていない。対策も不明。
4.1. 管理権限奪取
ccTLD レジストリを含む
5. gTLD
Emergency Back-End Registry Operator program. EBERO
もうDNSSECを使うくらいか。
DNS情報を信用してはいけない。他の手段で確認すること。
5.1. DDoS
5.2. 人、組織
キャッシュをクリアするくらいしかできないと思っているひとたちも
-- ToshinoriMaeno 2015-07-12 22:54:52