1. DNS/毒盛/2014/JPRS資料

2月15日にco.jpの毒盛について連絡してから、JPRSが表だって公表した資料を整理してみる。

http://www.e-ontap.com/internet/

関連項目:

1.1. 2014-04-15

http://jprs.jp/tech/security/2014-04-15-portrandomization.html

ソースポートランダマイゼーションが使われていないBINDキャッシュサーバーなどは毒盛攻撃に対して脆弱です。

ネットワーク機器におけるネットワークアドレス変換(NAT)機能は不適切な実装が多く、 ソースポートランダマイゼーションが無効にされてしまう場合がある。

▼DNSSECとの関係

  キャッシュポイズニング攻撃を検知するための手法として、DNSSECの導入が有効です。

しかし、DNSSECではキャッシュポイズニング攻撃による意図的なサービス不能(DoS)攻撃(*7)の防止は困難であり、
DNSSECを導入済である場合も、ソースポートランダマイゼーションの設定が必須事項となります。

(*7)キャッシュポイズニング攻撃によりDNSSEC検証エラーを発生させ、利用者のアクセスを妨害すること。


ポートランダム化以前の問題があるルータ(DNS)も存在するようです。 -- ToshinoriMaeno 2014-05-12 03:21:38

関連記事: http://www.atmarkit.co.jp/ait/articles/1405/09/news016.html

1.2. 2014-04-30

キャッシュポイズニング攻撃対策: キャッシュDNSサーバー運用者向け―基本対策編

本資料の位置づけ

33ページにある記述

 キャッシュクリアにより、キャッシュポイズニング攻撃が成立しやすくなる場合もあることに注意

説明がない。誤解される。クリアで成立しやすくなる危険はもっと大きな危険にくらべれば、無視できる。

-- ToshinoriMaeno 2014-05-18 05:41:03

続編がでるとの予告があったが、いまも完結していない。-- ToshinoriMaeno 2014-09-19 00:57:37

1.3. 2014-05-30

権威DNSサーバー運用者向けの基本対策編だけがでた。ゾーンサーバ側でも攻撃が検知できるという話だけのようだ。

1.4. 2014-06-09

親子ゾーンの同居をやめるらしい。 (3ヶ月で対応できたから、早いと思っていることだろう。)

DNS.JPゾーンの収容変更について : さらなる安定運用実現のため http://www.dns.jp/2014-06-09-dns.jp-ns-change.html

dns.jp NS の変更ということは明示せずに、IPアドレス変更と説明している。いいのか。

キャッシュ毒盛が容易になる構成は dns.jp だけではないので、そこの部分をどう説明していくのか、しないのか、注目です。

DNS/親子同居問題

1.5. DNS Summer Days 2014 DAY2 ワークショップの資料

http://dnsops.jp/event/20140627/201406-attacktool.pdf Fujiwara

参考文献にも Mueller の名前は見当たらないが、 Mueller 手法の解説と評価をしている。

slide p.12 の検討 /root-servers.net

のちに、wikipeida を持ち出したのは Mueller を参照したくなかったからだったと、言い訳しているようだ。

http://www.e-ontap.com/dns/fujiwaratalk.html tss さんの指摘

/いろいろな疑問

1.6. 2014-07-20

http://www.e-ontap.com/blog/20140720.html

しっかり読めば、おかしな点がたくさんあることに気づくはずだ。

1.7. 2014-09-12

学会での発表があったようだが、資料は契約者だけのようだ。公開を待つ。

http://www.ieice.org/ken/paper/20140912QBRF/ 2014-09-12 16:15 [招待講演]「根元」は攻略されたのか ~ DNSキャッシュポイズニング攻撃とその対策について改めて考える ~

最近,DNSキャッシュポイズニング攻撃が改めて注目されている.
本攻撃手法はDNSの基本構造に由来するものであるが,その原理や成立の条件・
実際の危険性などが正しく理解されているとは言い難い.
本報告ではDNSへのさまざまな攻撃を紹介し,特に偽のNS
リソースレコードを注入するキャッシュポイズニング手法について原理を解説し,
攻撃のリスクに関する評価結果を示し,これまでに提案・実装されている対策を紹介する. 

新しい話はなにもない、と言いたいようだ。JPドメイン構造に由来する脆弱性は説明されたのだろうか。

Mueller white paper が公知の情報であることを認めているようだ。

http://jprs.jp/related-info/event/2014/0812IETF.html /IETF0812

http://www.ieice.org/~ia/archives/ia20140906/20140912-ia-fujiwara.pdf

1.8. 過去の資料

JPRSがキャッシュNS毒盛に気づいていないはずがない。 

なぜ、いまさら、Kaminsky攻撃の注意喚起をするか。

dns.jp ゾーンなどの親子同居は解消されることになった。(6/9 の発表)

JP DNSの構成変更について

http://jprs.jp/tech/dnsuis/info002.html


http://internet.watch.impress.co.jp/docs/event/iw2011/20111201_494798.html

DNSサーバーの引っ越し~トラブル発生を未然に防ぐ手順とポイント~(PDF) http://jprs.jp/related-info/guide/019.pdf

DNS/危険なサービス/JPRSの注意喚起 : さくらなどのDNSゾーンサービスの危険性

http://jprs.jp/tech/notice/2012-02-17-ghost-domain-names.html 幽霊ドメイン名

http://jprs.jp/tech/material/rfc/RFC3833-ja.txt


http://www.itmedia.co.jp/enterprise/articles/0512/05/news060.html JPRS、ドメイン乗っ取りの危険性の高いDNS設定を削除

http://www.itmedia.co.jp/news/articles/0508/04/news092.html JPRSがDNSの不適切な設定を調査 [ visa.co.jp 問題を受けての行動 ]

MoinQ: DNS/毒盛/2014/JPRS資料 (last edited 2021-05-01 15:03:23 by ToshinoriMaeno)