2012年2月10日

Ghost DNS

まとめておいたけど、非公開にしていたもの。 今頃だけど公開にしておく。
0
mi @wintry_scene

よく分からないけど「延長する」とか書いてあるから、やっぱり 浸透いうな(その3) みたいなものか。

2012-02-10 11:11:32
mi @wintry_scene

残念なことに、DNSはキャッシュされたエントリは、DNSリゾルバで上書きすることができ、キャッシュ更新のロジックは、厳密に定義されていません。(Google翻訳)

2012-02-10 11:26:45
mi @wintry_scene

IntroductionをGoogle翻訳で読んだ感じだと、キャッシュを上書きすることができるから、何らかの形で攻撃者に委譲されてしまうと上位のデータをどうこうしたところで手が付けられないよ ってことかな?ってことは、どうやって上書きするのかが問題なのか

2012-02-10 12:01:18
DNS/NSレコードを学ぼう @beyondDNS

「深刻ではない」:ISCの報告を読んでいないのか。見ないふり? 深刻だが、BINDだけの問題ではない。すぐに対策できない。 (それは「深刻ではない」とは違うもの) キャッシュクリアと共用キャッシュやめる くらい。

2012-02-10 14:31:01
Yasuhiro Morishita @OrangeMorishita

当該のフレーズを再掲しておこう。「・既にキャッシュされているデータと同じ信頼度のデータが来た場合にキャッシュDNSサーバーがどのようにふるまうかは、DNSプロトコルでは決められていない」

2012-02-10 16:47:29
DNS/NSレコードを学ぼう @beyondDNS

「DNSプロトコルでは決められていない」からと言って、脆弱性を放置していいはずもない。対策しないのは無責任だなあ。

2012-02-10 18:14:48
誠実・石油減耗時代 @qmailjp

セキュリティ屋さんはどうしているのだろう。 Ghost Domain Names

2012-02-10 18:16:58
DNS/NSレコードを学ぼう @beyondDNS

「浸透いうな」を支援するために、「ゴーストバスターズ」を立ち上げましょう。

2012-02-10 18:23:03
DNS/NSレコードを学ぼう @beyondDNS

オープンリゾルバーをやめさせても、Ghost対策という意味での安全にはならない。(別の危険もあるので、オープンリゾルバーでいいという意味ではないが。)

2012-02-10 18:28:15
誠実・石油減耗時代 @qmailjp

@wintry_scene 話の発端を誤解していそう。悪いやつのドメインを上位サーバで消しても影響を受けるキャッシュサーバを維持できるという話です。

2012-02-10 18:32:53
DNS/NSレコードを学ぼう @beyondDNS

[重複]がでないから、キャッシュを提供している業者はなにも対応しないのか。お客さんにはなんの通知もしないでいいのか。(なにもしないのだろうな。)

2012-02-10 18:35:58
DNS/NSレコードを学ぼう @beyondDNS

DNSなんてそんな世界さ、と割り切っているひとはいいけどね。

2012-02-10 18:37:06
DNS/NSレコードを学ぼう @beyondDNS

web屋さんはHTTPSを使わないのが悪いというだろうな。

2012-02-10 18:38:41
DNS/NSレコードを学ぼう @beyondDNS

@OrangeMorishita 「ゾンビ化」という語があるそうです。調べてみられたら。論文に使うような単語ではないのかもしれないけど、今回の内容(起源)にはふさわしいような気がします。自然(?)発生した幽霊というより、殺されたというイメージもあるとよりふさわしい。

2012-02-10 18:55:43
Yasuhiro Morishita @OrangeMorishita

@beyondDNS ありがとうございます。killで死なないプロセスと同様のイメージですか。

2012-02-10 18:58:27
mi @wintry_scene

@qmailjp 誤解していそうという箇所は、「影響を受けるのが該当するドメインをキャッシュしたキャッシュサーバ」というような記述が欠けていたというところでしょうか。それとも、上位サーバが削除した後でも悪い事ができる、という問題意識でなかったあたりでしょうか

2012-02-10 18:58:39
誠実・石油減耗時代 @qmailjp

@wintry_scene 書いたことをそのまま読んでもらえれば、後者だと分かるはずなんですが、それ以外の受け止め方ができますか。(行間を読めとはいいません。)

2012-02-10 19:08:32
誠実・石油減耗時代 @qmailjp

@wintry_scene 「何らかの形で攻撃者に委譲されてしまうと」がひっかかったのです。悪い奴だって正規の手続きでドメインを取得できるのだから。

2012-02-10 19:10:46
mi @wintry_scene

@qmailjp 一応、正規の手続きで委譲されたものも含ませたつもりでしたが、読み返してみるとそうとは全く読めないですねw むしろ、正規の手続きで取得したものでも無効にできない、ということの方が問題なんですね

2012-02-10 19:20:39
誠実・石油減耗時代 @qmailjp

@wintry_scene 上位が委譲を取り消しても、それを末端(キャッシュ)に伝える手段がない。つまり、キャッシュ側で十分注意していないといけないということです。 (そうしなくていいと解釈するひとは、セキュリティに関心がないひと)|

2012-02-10 19:26:49
Yasuhiro Morishita @OrangeMorishita

RT @qmailjp: @wintry_scene 上位が委譲を取り消しても、それを末端(キャッシュ)に伝える手段がない。つまり、キャッシュ側で十分注意していないといけないということです。 (そうしなくていいと解釈するひとは、セキュリティに関心がないひと)|

2012-02-10 19:29:19
Yasuhiro Morishita @OrangeMorishita

.@qmailjp @wintry_scene はい、当該論文の6. Related WorkのDNS Cache Inconsistency. などに書かれています。> 上位が委譲を取り消しても、それを末端(キャッシュ)に伝える手段がない。

2012-02-10 19:31:53
mi @wintry_scene

@qmailjp なるほど。浸透問題が毒入れの話に繋がっているのはこういうことが関係しているんですね!

2012-02-10 19:33:22
Yasuhiro Morishita @OrangeMorishita

(論文より) ... authoritative servers cannot propagate data changes to resolvers in a timely way, failing completely in the ghost domain case.

2012-02-10 19:37:39
Yasuhiro Morishita @OrangeMorishita

@OrangeMorishita ようはこれ、propagateっていうぐらいで「浸透させることはできない」と言っているわけです。他にもさまざまな既存の問題について、きちんと指摘されています。

2012-02-10 19:38:58
残りを読む(28)

コメント