1. DNS/毒盛/フラグメント


UDP返答が複数フラグメントに分割されるときには、第二フラグメント以降をすり替え易い。

/linux不良

Christopher A. Kent, Jeffrey C. Mogul: Fragmentation Considered Harmful (December, 1987) http://www.hpl.hp.com/techreports/Compaq-DEC/WRL-87-3.pdf

Fragmentation Considered Poisonous

Amir Herzberg and Haya Shulman DNS Cache-Poisoning: New Vulnerabilities and Implications https://www.ietf.org/proceedings/87/slides/slides-87-saag-4.pdf

DNS関連ホットトピックス 2014年2月1日 IPv6 Summit in SAPPORO 2014 https://www.iajapan.org/ipv6/summit/SAPPORO2014/pdf/JPRS_SAPPORO2014.pdf

これを利用した毒盛が可能であることが示唆されているが、実行可能な例は公表されていない。

/glibc

そこで、どういう場合が可能であるか、考えてみることにする。

2. 長い返答

/長い返答を返させるには問い合わせ(名)を長くするのが簡単であろう。

あとはDNSSEC返答させて、余分なデータを付けさせるとか、

NSレコードを多数(Additional)もつ名前を狙うとかもありそう。

-- ToshinoriMaeno 2017-01-28 04:06:28

$ dig -t ns +dnssec 
abcdefghijklmnopqrstuvwxyz.abcdefghijklmnopqrstuvwxyz.abcdefghijklmnopqrstuvwxyz.abcdefghijklmnopqrstuvwxyz.iij.ad.jp @a.dns.jp

; <<>> DiG 9.9.5-3ubuntu0.11-Ubuntu <<>> -t ns +dnssec abcdefghijklmnopqrstuvwxyz.abcdefghijklmnopqrstuvwxyz.abcdefghijklmnopqrstuvwxyz.abcdefghijklmnopqrstuvwxyz.iij.ad.jp @a.dns.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60283
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 5, ADDITIONAL: 5
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;abcdefghijklmnopqrstuvwxyz.abcdefghijklmnopqrstuvwxyz.abcdefghijklmnopqrstuvwxyz.abcdefghijklmnopqrstuvwxyz.iij.ad.jp. IN NS

;; AUTHORITY SECTION:
iij.ad.jp.              86400   IN      NS      dns1.iij.ad.jp.
iij.ad.jp.              86400   IN      NS      dns0.iij.ad.jp.
iij.ad.jp.              7200    IN      DS      24274 8 1 D395DF01232AA0DF04F85FD4C70E11CA1EC47BBF
iij.ad.jp.              7200    IN      DS      24274 8 2 37FB8689A6FA58D28FC8F1C9F3BF70B91FD02BF66C0E1E30A2779D47 F5BC4BD3
iij.ad.jp.              7200    IN      RRSIG   DS 8 3 7200 20170220174502 20170121174502 10785 jp. FWccU+vqV5lXF0eFtwdefVOB4A7WQ2qT25iRy/KpoYwGSX3jqLGi+zwU tuBrOnXvcn9SbPPVxt8zIJGO3s4hUkDg7B+Lsj6yLDnEUA1/8wFcRAZQ vruY5Lsja83RUx3rioHZm0D4doLY+VJXWg6cB8xmUJvnTNDZ5fdX2JJn cyg=

;; ADDITIONAL SECTION:
dns0.iij.ad.jp.         86400   IN      A       210.130.0.5
dns1.iij.ad.jp.         86400   IN      A       210.130.1.5
dns0.iij.ad.jp.         86400   IN      AAAA    2001:240::105
dns1.iij.ad.jp.         86400   IN      AAAA    2001:240::115

;; Query time: 6 msec
;; SERVER: 203.119.1.1#53(203.119.1.1)
;; WHEN: Sat Jan 28 12:56:09 JST 2017
;; MSG SIZE  rcvd: 518

MoinQ: DNS/毒盛/フラグメント (last edited 2021-11-21 21:42:33 by ToshinoriMaeno)