あなたのDNS大丈夫?-バーチャルと○ちゃによる毒入れ実験環境-
-
- いいね!0
Yoshikazu GOTO
@goto_ipv6
鈴木先生:再委任攻撃の新国際の指摘(今回): ・キャッシュが無い、または入る機会が少ないゾーンが危険 →入る機会が少ないゾーンって? ・ゾーンのないサブドメイン名が危険 ・世代間同居のドメイン名が危険(nic.ukなど) #oscnagoya #tss_ontap
2014-07-05 11:17:08
Yoshikazu GOTO
@goto_ipv6
・子孫の名をNSに用いる親ドメインが危険(nic.uk -> uk) 条件が揃わなくとも、NSのホスト名、1個1個毒を入れていけば、毒は入る ・今回の話は、さくっとゾーンまるごと乗っ取れる話なので危険 #oscnagoya #tss_ontap
2014-07-05 11:17:45
Yoshikazu GOTO
@goto_ipv6
鈴木先生:弱点その1: ・NSのない(ゾーンが分離されていない)サブドメイン名 →go.jp, aichi.jp, gouv.fr →kantei. go.jp はキャッシュに入りますが、go.jpはキャッシュに入りません #oscnagoya #tss_ontap
2014-07-05 11:18:41
Yoshikazu GOTO
@goto_ipv6
鈴木先生: ・今回、仮想NWでやっていますので .nom でやっていたり #oscnagoya #tss_ontap
2014-07-05 11:19:01
Yoshikazu GOTO
@goto_ipv6
鈴木先生: ・今回のポイントは、偽権威に誘導する、ってところです →その手間が必要とは、カミンスキーは説明しなかった。で、Mueller氏はそれをした。 #oscnagoya #tss_ontap
2014-07-05 11:19:33
Yoshikazu GOTO
@goto_ipv6
鈴木先生:弱点その2: ・世代間同居の子孫側(人気のない兄弟) →例1:nic.uk(親ukと同居) →子ゾーンの存在しない名前に親ゾーンが否定応答(するように見えるが実際な子ゾーンが応答) #oscnagoya #tss_ontap
2014-07-05 11:20:33
Yoshikazu GOTO
@goto_ipv6
鈴木先生: →子ゾーンが引かれる機会が少ない場合、この応答に含まれるNS+Aがキャッシュに入る機会も少ない #oscnagoya #tss_ontap
2014-07-05 11:21:03
Yoshikazu GOTO
@goto_ipv6
鈴木先生: ・例2:www. foo. bar. internot. jp →これを、rootから問い合わせていった状況を考えてみます →親ゾーンを期待してクエリーが来ても、子ゾーンが同居しているので、いきなり子ゾーンの情報を返すことに #oscnagoya #tss_ontap
2014-07-05 11:22:50
Yoshikazu GOTO
@goto_ipv6
鈴木先生: →ゾーンが同居した時に、どっちを返すかは、実装次第です →→RFCには記載がありませんが、たいていはロンゲストマッチで返します #oscnagoya #tss_ontap
2014-07-05 11:24:33
Yoshikazu GOTO
@goto_ipv6
鈴木先生:弱点その3: ・子ゾーンの毒入れで親ゾーンが乗っ取れる →dns.jp で jp を #oscnagoya #tss_ontap
2014-07-05 11:25:06
Yoshikazu GOTO
@goto_ipv6
鈴木先生:委任インジェクション: ・委任元になりすまして、二世人応答を返し、キャッシュサーバーを偽権威サーバーに誘導 #oscnagoya #tss_ontap
2014-07-05 11:25:33
Yoshikazu GOTO
@goto_ipv6
鈴木先生:e-ontap.com/blog/20140617.… #oscnagoya #tss_ontap
2014-07-05 11:26:50
Yoshikazu GOTO
@goto_ipv6
鈴木先生:移転インジェクション: ・RFC2181 →どの応答を優先してキャッシュに入れるかっていうランキングがあります →これがザルです #oscnagoya #tss_ontap
2014-07-05 11:28:00
Yoshikazu GOTO
@goto_ipv6
→これに対してなんの対策もしていなかった →→JRPS藤原さんが、IETFに持って行ってくれるそう #oscnagoya #tss_ontap
2014-07-05 11:28:02
Yoshikazu GOTO
@goto_ipv6
鈴木先生: ・権威サーバーになりすまして、ネームサーバー情報を上書きしちゃえばいいんです ・ #oscnagoya #tss_ontap
2014-07-05 11:29:02
Yoshikazu GOTO
@goto_ipv6
鈴木先生: ・こんな上書きを禁止しちゃえばいい? →NSを移転する際の利便性が下がります →→浸透、っていう人が更に増える?? #oscnagoya #tss_ontap
2014-07-05 11:29:40
Yoshikazu GOTO
@goto_ipv6
鈴木先生:. 自体は、結構しっかり守られています ・Priming #oscnagoya #tss_ontap
2014-07-05 11:32:12
Yoshikazu GOTO
@goto_ipv6
鈴木先生:キャッシュサーバーでの対策: ・アクセス制限 →しかし、最近、ISPさんのキャッシュサーバーへの攻撃が酷いですよね →→お客さん側からのクエリーはどうしようもない #oscnagoya #tss_ontap
2014-07-05 11:34:12
Yoshikazu GOTO
@goto_ipv6
鈴木先生:コンテンツサーバーでの対策: ・親子同居構成の解消 →大学に多いです… →うちの大学も… #oscnagoya #tss_ontap
2014-07-05 11:35:27
Yoshikazu GOTO
@goto_ipv6
鈴木先生:根本対策: ・RFC2181の見直し →JPRSさんが頑張ってくれそう #oscnagoya #tss_ontap
2014-07-05 11:35:52
Yoshikazu GOTO
@goto_ipv6
鈴木先生:これ、喋っちゃいましたけど、私は周知した方がいいと思って話しているわけです。2008年に論文が書かれている噺なので。また、2009年にはカミンスキーが言っているわけです。多分、悪い奴らは、知っているんだと思います。 #oscnagoya #tss_ontap
2014-07-05 11:38:25