DNSには脆弱性がある。DNSを信用するのは危険だ。
  安全に運用するのは困難だ。

だが、代替するものがない。w
  DNSSECは複雑であり、手間に見合う効果は期待できない。

DNS脆弱性は運用により作られる。-- ToshinoriMaeno 2021-03-25 04:58:15

/tss

DNS/なりすまし をどうぞ。DNS/ドメイン名/ハイジャック

関連項目: DNS/セキュリティ　DNS/脅威

1. DNS/脆弱性

あまりに雑多で、未整理のページです。

DNS/毒盛/2020/saddns.net

/運用 /リゾルバー

https://duo.com/blog/the-great-dns-vulnerability-of-2008-by-dan-kaminsky

DNS/毒盛

DNS/類似ドメイン名

2016: A Skeleton Key of Unknown Strength

• http://dankaminsky.com/2016/02/20/skeleton/

https://threatpost.com/kaminsky-dns-insecurity-isnt-coincidence-its-consequence/111094

• Kaminsky: DNS Insecurity Isn’t Coincidence, it’s Consequence

JPRSからの注意喚起一覧: https://jprs.jp/tech/index.html#dns-notice

• セキュリティ情報

1.1. UDPを使うことによる脆弱性

あなたのネットワーク、DNS サーバのネッテワークに直接アクセスできるなら、(Man In The Middle) 偽の DNS 情報を送りこむのは簡単です。

• DNS Spoofing : http://D/forgery.html DNS での騙り] (D. J. Bernstein; DNS についてのノートより)

「あなたのネットワークにアクセスできる攻撃者なら簡単にあなたのDNS問合せに対して返答を偽造できる。」

そうでなくとも、DNS/1/UDP には弱点が多数あります。

UDPは中間者攻撃では簡単に攻略できます。

• そこで以降、原則として中間者攻撃は扱いません。

1.2. リゾルバーへの毒盛

DNS/毒盛

1.3. DNS の構造からくる問題

DNS は階層構造になっています。 つまり、上位のサーバの動作に完全に依存しています。

• ルートサーバの IP アドレスの取得方法: djbdns はルートサーバの IP アドレスをファイルに保持することで、毒入れに対抗しています。
• ルートサーバへのDoS攻撃: ルートサーバは複数ありますが、 DoS攻撃への耐性は不十分です。
• TLD サーバのアドレスをローカルに持てば、 ルートサーバに頼ることなくインターネット接続を維持できます。
• 問題は TLD サーバにアクセスできなくなるケースです。

NS レコードの TTL を短かくすると、上位サーバへのアクセスを増します。 上位がダウンしたときにあなたのドメインにアクセスできなくなる危険もあります。

1.3.1. Ghost Domain Names 脆弱性

BINDの対応は不十分だ。他のリゾルバーはどうか。

1.3.2. 上位サーバへの登録の間違い

DNS データが間違っていたら、 利用者は本来の相手ではなく悪意のあるサイトに接続する危険があります 。 ['dns hijack'と呼ばれます。]

• かつてvisa.co.jp の DNS 設定が危険な状態になっていました。 http://www.e-ontap.com/

• こういう危険な間違いは他にも見つけていますが、 連絡しても『問題はない』と受けつけてくれない管理者が大部分です。被害を受けるのは利用者なのに。

1.3.3. 上位サーバに登録した名前と異なる名前の DNS サーバ

アクセス出来なくなること(時)がありそうです。

1.4. DNS 運用の脆弱性について

1.4.1. 第三者 DNS サービスの危険性

自宅の鍵をあずけるようなものです。 親切そうだというだけで、100 % 信用してしまっていいのですか。

BIND など「DNS サーバのセキュリティホール」は対策されていることを前提にします。

• http://www.securityfocus.com/news/54

  • NSI to close hijack Hole (By Kevin Poulsen, SecurityFocus Jun 29 2000 5:36PM)

1.4.2. DNSゾーンサービスの危険性

2012年に指摘したさくらの共用DNSサービスの弱点はいまも残っているらしい。

• 無責任な運用だと言える。

1.4.3. レジストラ/レジストリの脆弱性

1.4.4. コンテンツサーバで再帰検索を許すのは DoS 攻撃を受けやすくなります

DNS/キャッシュサーバへの毒盛される可能性があります。 http://D/separation.html DNS キャッシュを DNS サーバから分離することが重要です。

http://www.securityfocus.com/guest/17905 DNS Cache Poisoning - The Next Generation

• あなたのサイトが侵入されたと誤解するかもしれません。
• あなたのサイトにメイルを送ってくる人やアクセスしてくる人に危害が加えられるかもしれません。
• つまり、あなたは加害者になってしまうのです。

[http://dns.qmail.jp/survey/obattack.html The out-of-domain NS registration attack] (D. J. Bernstein; Bugtraq への投稿)

• ゾーン外の名前を使うことの危険性：そのゾーンを 100 % 信用できますか。

[http://dns.qmail.jp/nic/jpTLD.html jp TLD サーバの問題]

• JPNIC データベースに登録する権限を持っているのは誰か。安全か。

1.5. TCP を使う

https://tools.ietf.org/html/rfc7766