1. DNS/セキュリティ
/Balancer /Bard /DDoS /Galxe /Intercept and Inject /MaginotDNS /Phantom Domain Attack /Slowmist /bug_bounty /cookies /privacy /yajima /ファーミング /事例 /共用ゾーンサービス |
Contents
https://x.com/motokinter/status/1869283241783640171
Balancer and Galxe /Galxe /Balancer
DNSSECは棚上げにして、DNS の危うさを整理してみたい。
なぜ認知されないのか。
- DNS は難しい。
- 啓発活動が不十分。(責任ある組織によるもの)
- 大きなトラブルが起きていない。
1.1. DNSは信用すると危ない
DNSはセキュリティのことは考慮せずに設計された。(RFC 1034)
- まともに運用できるかどうかも怪しい状態から始まった。 したがって、安全性を考慮するのは運用の仕事である。
UDPは偽造しやすい。できるかぎり、TCPだけを使うようにしよう。
ゾーンサーバからの返事を信用しては危険です。
- DNSにおける「権威」はすべて自称(オレオレ)
/Intercept and Inject Intercept and Inject: DNS Response Manipulation in the Wild
https://link.springer.com/chapter/10.1007/978-3-031-28486-1_19
1.2. 前提
DNSの基本動作を理解していることが前提になる。
この前提が満たされているひとが運用にあたっているか。はなはだ怪しい。-- ToshinoriMaeno 2023-07-09 11:17:37
DNSの運用に起因するセキュリティ問題 https://www.nic.ad.jp/ja/materials/iw/2014/proceedings/t7/t7-aharen.pdf
リゾルバーに偽のレコードをキャッシュさせる攻撃:
1.3. 項目
関連項目: DNS/脆弱性 DNS/なりすまし DNS/乗取 /privacy
https://news.ycombinator.com/from?site=thehackerblog.com
/GoDaddy では問題がよく起きる。狙われているのだろう。
警告:DNSの/仕組みなど基本を理解していることを前提にしています。
How DNS kills the Internet https://research.kudelskisecurity.com/2014/09/23/how-dns-kills-the-internet/
DDoS attacksに対抗するのをDNS securityだと言っているところもある。
- availability は securityの一部。
島村 充:
- DNSにまつわるセキュリティのあれこれ インターネットイニシアティブ
http://www.iij.ad.jp/company/development/tech/techweek/pdf/161111_04.pdf
1.4. ドメイン名管理
1.5. ゾーン管理
2. 攻撃
2.1. キャッシュ毒入・毒盛
- UDPは偽パケットを送り易いので、DNS返答は偽であると疑う必要がある。
MITM攻撃できる立場であれば、偽攻撃も容易である。-- ToshinoriMaeno 2021-09-27 04:01:10
DNSに対する脅威の進化状況 https://www.cloudflare.com/ja-jp/learning/insights-dns-landscape/
- DNSの設計時にセキュリティは考慮されなかった
攻撃者にEmotet拡散手段やMcAfee偽装手段を提供するドメインパーキング https://unit42.paloaltonetworks.jp/domain-parking/
securityを根にした木構造にしたいと思ったが、 そう簡単ではないので、いくつかの根の元に書いてみる。-- ToshinoriMaeno 2021-03-25 05:28:28
DNS/1/セキュリティ DNS/lame_delegation
セキュリティ考察の対象
リゾルバー関連のセキュリティ : https://qiita.com/sasshi_i/items/f6057f70e9aea80e4662
/yajima https://blog.apnic.net/2021/11/26/adoption-of-dns-security-mechanisms-related-to-ease-of-use-cost/
2.2. CIA
機密性(Confidentiality)はDNS ゾーンデータにはもともと必要ありません。
- 最近になって、話題になるのは問い合わせのprivacyです。
Statement on DNS EncryptionRoot Server OperatorsMarch 2021 https://root-servers.org/media/news/Statement_on_DNS_Encryption.pdf
DoS 対策は重要ですが、ここでは扱いません。(Availability)
Integrity (完全性) を中心に議論することにします。
完全性よりは一貫性と呼ぶ方がふさわしいでしょう。-- ToshinoriMaeno 2021-04-01 07:12:27
2.3. 被害
DNSで入手する情報が間違っていたり偽だったりとかだと、
- 本来の目的のサイトではない相手に接続することになる。
危ない。DNS/1/セキュリティ /ファーミング 暗号通貨の盗難
DNS(ゾーンサーバー、キャッシュサーバー)を落とすという攻撃もある。(サービス妨害)
2.4. 分類してみる
DNSという仕組みに対する攻撃を系統的に分類するという仕事はまだされてなさそう。 (大規模な攻撃がすでにあったものさえも表面的な観察だけのようだ。)
2017年での最大の脅威は登録情報の書き換えというDNSプロトコルには関係のない攻撃だ。-- ToshinoriMaeno 2017-01-26 02:49:44
ルータとかのDNS(リゾルバーアドレス?)設定を書き換える攻撃も増えているようだ。
ここでは偽のDNS情報をクライアントプログラム(例えば、web browser)に渡すとしたら、 という観点から、以下の手法を検討してみる。DNS/hijacking に構成し直し中。
DNS/1/レジストラ情報の改変 : DNSは直接は関係しない。JPRSはDNS/1/ドメイン名/ハイジャックと呼んでいる。
レジストラへの侵入、webインターフェースの不具合など。 /eNom
DNS/1/ゾーンサーバ/上の情報の改変 ゾーンサーバに侵入するとか、 ゾーン同居の処理不良、管理不良ドメイン (例:さくらゾーンサービスの不良)
- 最近起きたのはDynamic Updateの欠陥(実装)を付いて、書き換えるとか。
DNS/毒盛 リゾルバーキャッシュへの毒盛
- DNSプロトコルの弱点を利用する。
- 末端が参照するリゾルバー/フォワーダー情報の改変
- switcher, DNS changer など。ウィルスを利用するもの。
- 間違ったNS設定は付けこまれる恐れがある。
- 期限切れで誰でも取得できるようになったドメイン内のゾーンサーバを登録しているドメインは危ない。 偽情報を紛れ込ませるわけではないので、使う側が気をつける以外には対策はない。(visa.co.jp事件)
- 共用DNSゾーンサービス内の使っていないDNSサーバを上位サーバに登録し忘れていると、
- 勝手にゾーンサービスに登録されて(使われて)危ない。(さくらは制限している) これはドメインハイジャックと呼ぶのがぴったり。(委譲情報の改変は必要ない。)
/Typosquatting 紛らわしい名前、見分けのつきにくい名前を登録しておく。ミスで嵌るのを拾う。
Typosquatting, also called URL hijacking, a sting site, or a fake URL, is a form of cybersquatting, and possibly brandjacking which relies on mistakes such as typographical errors made by Internet users when inputting a website address into a web browser.
-- ToshinoriMaeno 2017-01-06 11:08:01
これら以外にはDNSサービスを妨害する目的の攻撃もある。
- Amp, Water Torture
2.5. DNS攻撃リンク
DNS攻撃の分類・歴史・トレンド http://www.terilogy.com/momentum/topics/tapas02.html
http://ya.maya.st/trash/openresolver.pdf DNSオープンリゾルバ問題
3. 防御
3.1. 初級の知識では対策は難しい
できるかぎり、TCPだけを使うようにしよう。
ゾーンサーバからの偽情報判別はリゾルバーに期待する。
- BINDはあぶない。Unboundの方がまし。
-- ToshinoriMaeno 2016-08-26 02:09:54
3.2. DNSECは普及していない
対応が難しく、面倒という状況が続いている。
リゾルバー側が対応するだけでは不十分で、すべてのゾーンが対応することは期待できない。
3.3. DNS Cookiesはこれから
3.4. リゾルバーの改良で凌ぐ
NS毒盛やCNAME毒盛は簡単な対策がある。
- リゾルバーで対応してもらえれば、キャッシュ毒盛対策はほぼ十分になるのだが。
-- ToshinoriMaeno 2016-08-26 02:27:28
4. 参考文献
https://www.elsevier.com/books/dns-security/liska/978-0-12-803306-7# DNS Security 1st Edition
Defending the Domain Name System Authors: Allan Liska Geoffrey Stowe
DNS Security: In-depth Vulnerability Analysis and Mitigation Solutions https://www.amazon.com/DNS-Security-depth-Vulnerability-Mitigation-ebook/dp/B007ZW50WE#reader_B007ZW50WE
The Challenge of Defending the Domain Name System http://www.bankinfosecurity.com/interviews/challenge-defending-domain-name-system-i-3381#.WHGtd_r44G8.twitter
- …