## page was renamed from DNS/脆弱性、危険性

<<Navigation(children,1)>>

{{{
DNSには脆弱性がある。DNSを信用するのは危険だ。
  安全に運用するのは困難だ。

だが、代替するものがない。w
  DNSSECは複雑であり、手間に見合う効果は期待できない。
}}}

<<TableOfContents()>>

DNS脆弱性は運用により作られる。-- ToshinoriMaeno <<DateTime(2021-03-25T13:58:15+0900)>>

[[/tss]]


[[DNS/なりすまし]] をどうぞ。[[DNS/ドメイン名/ハイジャック]] 
　
関連項目: [[DNS/セキュリティ]]　[[DNS/脅威]]

= DNS/脆弱性 =
あまりに雑多で、未整理のページです。

[[DNS/毒盛/2020/saddns.net]]

[[/運用]] [[/リゾルバー]]  

https://duo.com/blog/the-great-dns-vulnerability-of-2008-by-dan-kaminsky

[[DNS/毒盛]]

[[DNS/類似ドメイン名]]

2016: A Skeleton Key of Unknown Strength
 http://dankaminsky.com/2016/02/20/skeleton/

https://threatpost.com/kaminsky-dns-insecurity-isnt-coincidence-its-consequence/111094
　Kaminsky: DNS Insecurity Isn’t Coincidence, it’s Consequence


JPRSからの注意喚起一覧: https://jprs.jp/tech/index.html#dns-notice
  セキュリティ情報

== UDPを使うことによる脆弱性 ==
あなたのネットワーク、DNS サーバのネッテワークに直接アクセスできるなら、(Man In The Middle)
偽の DNS 情報を送りこむのは簡単です。
 DNS Spoofing : http://D/forgery.html DNS での騙り] (D. J. Bernstein; DNS についてのノートより)
「あなたのネットワークにアクセスできる攻撃者なら簡単にあなたのDNS問合せに対して返答を偽造できる。」

そうでなくとも、[[DNS/1/UDP]] には弱点が多数あります。

UDPは中間者攻撃では簡単に攻略できます。
　そこで以降、原則として中間者攻撃は扱いません。

-----
== リゾルバーへの毒盛 ==
[[DNS/毒盛]]


== DNS の構造からくる問題 ==
DNS は階層構造になっています。 つまり、上位のサーバの動作に完全に依存しています。

 * ルートサーバの IP アドレスの取得方法: 
 djbdns はルートサーバの IP アドレスをファイルに保持することで、毒入れに対抗しています。
 * ルートサーバへのDoS攻撃: ルートサーバは複数ありますが、 DoS攻撃への耐性は不十分です。
 * TLD サーバのアドレスをローカルに持てば、 ルートサーバに頼ることなくインターネット接続を維持できます。
 * 問題は TLD サーバにアクセスできなくなるケースです。

NS レコードの TTL を短かくすると、上位サーバへのアクセスを増します。
上位がダウンしたときにあなたのドメインにアクセスできなくなる危険もあります。

=== Ghost Domain Names 脆弱性 ===
BINDの対応は不十分だ。他のリゾルバーはどうか。

=== 上位サーバへの登録の間違い ===
DNS データが間違っていたら、 利用者は本来の相手ではなく悪意のあるサイトに接続する危険があります
。 ['dns hijack'と呼ばれます。]

 * かつてvisa.co.jp の DNS 設定が危険な状態になっていました。 http://www.e-ontap.com/
 * こういう危険な間違いは他にも見つけていますが、
 連絡しても『問題はない』と受けつけてくれない管理者が大部分です。被害を受けるのは利用者なのに。

=== 上位サーバに登録した名前と異なる名前の DNS サーバ ===
アクセス出来なくなること(時)がありそうです。



== DNS 運用の脆弱性について ==

=== 第三者 DNS サービスの危険性 ===
自宅の鍵をあずけるようなものです。
親切そうだというだけで、100 % 信用してしまっていいのですか。


BIND など「DNS サーバのセキュリティホール」は対策されていることを前提にします。
　http://www.securityfocus.com/news/54
  NSI to close hijack Hole (By Kevin Poulsen, !SecurityFocus Jun 29 2000 5:36PM)

=== DNSゾーンサービスの危険性 ===
2012年に指摘したさくらの共用DNSサービスの弱点はいまも残っているらしい。
　無責任な運用だと言える。

=== レジストラ/レジストリの脆弱性 ===

=== コンテンツサーバで再帰検索を許すのは DoS 攻撃を受けやすくなります ===
[[DNS/キャッシュサーバへの毒盛]]される可能性があります。
http://D/separation.html  DNS キャッシュを DNS サーバから分離することが重要です。

http://www.securityfocus.com/guest/17905  DNS Cache Poisoning - The Next Generation
 * あなたのサイトが侵入されたと誤解するかもしれません。
 * あなたのサイトにメイルを送ってくる人やアクセスしてくる人に危害が加えられるかもしれません。
 * つまり、あなたは加害者になってしまうのです。

[http://dns.qmail.jp/survey/obattack.html The out-of-domain NS registration attack] (D. J. Bernstein; Bugtraq への投稿)

 . ゾーン外の名前を使うことの危険性：そのゾーンを 100 % 信用できますか。

[http://dns.qmail.jp/nic/jpTLD.html jp TLD サーバの問題]

 . JPNIC データベースに登録する権限を持っているのは誰か。安全か。

== TCP を使う ==
https://tools.ietf.org/html/rfc7766