DNSキャッシュポイゾニングについての話
•
5 likes•2,111 views
大学内勉強会資料(4月25日の回)。 事実と異なることで不安を煽りたくないので、 誤った内容や誤解を招く表記がありましたら教えてください。
Recommended
More Related Content
More from Joe_noh
More from Joe_noh (20)
Recently uploaded
Recently uploaded (7)
DNSキャッシュポイゾニングについての話
- 2. Why? ● DNSキャッシュポイズニング攻撃に関する注意喚起 ∙ http://www.jpcert.or.jp/at/2014/at140016.html ● Heartbleedが派手だったのであまり知られてない? ● ちなみに今日、このスライドとほぼ同じことを解説したブログが公開されてた ∙ Geekなページ 「DNSキャッシュポイズニングの基本と重要な対策」 ∙ http://www.geekpage.jp/blog/?id=2014/4/25/1 ∙ 確実にボクより詳しい方なので、続編もしっかりチェックしましょう
- 3. DNS ● Domain Name System ● ホスト名(正確に言うとFQDNかな)とIPアドレスのマッピング ∙ ipc.nagaokaut.ac.jp = 133.44.2.60 ● いわゆる名前解決ってやつですね
- 4. 名前解決 ipc.nagaokaut.ac.jpってどこよ キャッシュDNS ※ 身近な例で大学ドメインにしてるけど、学内からは多分こうなりません あとスペース足らなくってルートサーバ省略しちゃった
- 11. ちょっとまとめ ● IPアドレスがわからんホストのことは権威サーバに聞く ∙ 他の権威サーバに委任することがある ∙ オーバヘッド回避のためUDPを使う ∙ 権威サーバへの問い合わせには16bitのIDが付いてる ● 名前解決したホスト名は覚えておく ∙ これがDNSキャッシュ ∙ キャッシュしておく期間(TTL)は権威サーバが指示できる
- 12. で、ポイゾニングとは
- 15. How To 汚染 ipc.nagaokaut.ac.jpってどこよ (ID = 0x1234) jp権威サーバ キャッシュDNS
- 16. How To 汚染 ipc.nagaokaut.ac.jpってどこよ (ID = 0x1234) jp権威サーバ xxx.xxx.xxx.xxx (0x1871) xxx.xxx.xxx.xxx (0x1234) xxx.xxx.xxx.xxx (0xc8c2) xxx.xxx.xxx.xxx (0x773d) xxx.xxx.xxx.xxx (0x38f1) オラ オラ オラ オラ オラ オラ オラ オラ キャッシュDNS
- 17. You did it! ipc.nagaokaut.ac.jpってどこよ (ID = 0x1234) jp権威サーバ オラ オラ オラ オラ オラ オラ オラ オラ xxx.xxx.xxx.xxx (0x1871) xxx.xxx.xxx.xxx (0x1234) xxx.xxx.xxx.xxx (0xc8c2) xxx.xxx.xxx.xxx (0x773d) xxx.xxx.xxx.xxx (0x38f1) キャッシュDNS
- 18. なにが起きるのか ● 有害なサイトに誘導される ∙ フィッシング ∙ アドレスバーには自分が入力したものが表示されているので気付きにくい (ちゃんとhttpsしてれば警告が出る) ● 名前解決できない ∙ DoS攻撃にもなる ● などなど
- 19. どうする ● TTLを長くしておけばイケるんじゃね? ∙ 外部問い合わせしてる最中に毒入れされる ∙ 外部問い合わせしなければ毒入れされない ∙ ずっとキャッシュしとく ∙ 割とこれで通用してた(現実的に困難とされた)時代もあったそうな ● オラオラできるほどの通信速度や処理速度がなかった ∙ ちなみに ● ipc.nagaokaut.ac.jpは86400秒(24時間)キャッシュされるっぽい
- 22. 応用 ● Bernhard Müllerさん ● RFC1034の問題点を突いた ∙ 委譲応答が、キャッシュにあるものよりも解決したいホスト名に近い場合 その委譲を信頼して受け入れる ∙ abc.ipc.nagaokaut.ac.jpを問い合わせたとき、どっちを受け入れるか ● nagaokaut.ac.jpに聞けよ。IPはxxx.xxx.xxx.xxxな。 ● ipc.nagaokaut.ac.jpに聞けよ。IPはxxx.xxx.xxx.xxxな。 ← こっち
- 26. Kaminsky型の攻撃 ● 毒を盛ることに失敗したら ∙ 存在しない名前を解決しようとしているので正しい応答はNot Found ∙ NXDOMAIN (3) ∙ ネガティブキャッシュされる ● でも関係ない ∙ 別の架空のホスト名を問い合わせさせればいい ● $random.ipc.nagaokaut.ac.jp ● TTL切れを待つことなく連続攻撃が可能
- 27. どうする ● Source Port Randomization ∙ 権威サーバへの問い合わせをする際のポートをランダムに変える ∙ デフォルトの53番固定をやめる ∙ IDだけでなくポートも一致しないと毒が入らない ∙ ポートの範囲は 0〜65535 ∙ 成功率はぐっと下がる ∙ 攻撃を検知しやすくなるのかな
- 28. どうする ● 組織外からの問い合わせ要求は無視 ∙ 身内から毒を盛られることはないと信じる ∙ 組織の内とか外とか関係なしに名前解決しちゃうやつをオープンレゾルバと呼ぶ ∙ ただし内部にマルウェア感染者がいると... ● UDPやめてTCP使う ∙ 応答が偽装されやすいのはUDPを使ってるから ∙ 委譲応答が来たらTCPで再度問い合わせるのも有効だとか ∙ 当然ハンドシェイク等の手間は発生する
- 29. どうする ● DNSSEC ∙ 公開鍵暗号方式で応答の正当性を確認する ∙ 対策として効果がない場合があるらしい ● ここよくわからん ● DNSCurve ∙ 全てのDNSパケットを楕円曲線暗号方式で暗号化する ∙ クライアントと権威サーバが直接やり取りする ● DNSSECはキャッシュサーバを介して通信していた ∙ 現行の運用を考えたとき、導入コストが少ない
- 30. ちゃんと設定出来てるか心配だよね ● DNSサーバを構築・管理するなら ∙ ポートのランダム化は必須。絶対。マスト ∙ 具体的な設定例はググってください ∙ テストできるツールもある ● Web-based DNS Randomness Test https://www.dns-oarc.net/oarc/services/dnsentropy
- 31. そろそろ飽きた? ● またの機会に ∙ 親子同居問題 ∙ 第1フラグメント便乗攻撃 ∙ もっと深いところ(ボクが理解できたら) ● 質問あったらどうぞ
- 32. 参考にさせて頂きました ● JPRS 「JPRS トピックス&コラム No.009」 ∙ http://jprs.jp/related-info/guide/009.pdf ● JPNIC 「インターネット10分講座:DNSキャッシュポイズニング」 ∙ https://www.nic.ad.jp/ja/newsletter/No40/0800.html ● Internet Watch 「DNSのUDPメッセージサイズが512バイト以下に制限された背景とは」 ∙ http://internet.watch.impress.co.jp/docs/event/20131202_625963.html
- 33. 参考にさせて頂きました ● Moinqmail.jp 「DNS」 ∙ https://moin.qmail.jp/DNS ● Geekなページ 「強烈なDNSキャッシュポイズニング手法が公開される」 ∙ http://www.geekpage.jp/blog/?id=2014/4/16/1 ● Improved DNS Spoofing Using Node Re-delegation ∙ Bernhard Müller, 2008 ∙ http://www.sec-consult.com/fxdata/seccons/prod/downloads/whi tepaper-dns-node-redelegation.pdf