= NEWS = <> 心不在焉、視而不見、聽而不聞、食而不知其味。https://kanbun.info/keibu/daigaku07.html <> the #DNS has never been secure in and of itself. https://heimdalsecurity.com/blog/dns-spoofing/ What's Normal: New uses of DNS, Discovery of Designated Resolvers (DDR) https://isc.sans.edu/diary/rss/30380 https://nvd.nist.gov/vuln/detail/CVE-2022-30295 Nozomi Networks Discovers Unpatched DNS Bug in Popular C Standard Library Putting IoT at Risk https://www.nozominetworks.com/blog/nozomi-networks-discovers-unpatched-DNS-bug-in-popular-c-standard-library-putting-iot-at-risk/ https://twitter.com/kotaro03873195/status/1525340850045083648?s=20&t=OSiq1a23WTZz8u_x0FXbfQ [[国際規格]] == 2021 == [[/facebook]] BGP 設定不良によるDNS喪失 2021-10-04 DNS以外のサービスへの経路も失われていたはずだが、それより前にDNS情報が喪失していては到達できない。 slack.com DNSSEC 設定不良 (DNSSEC解除の失敗) [[watchNS/slack.com]] docomo.ne.jp SPF 設定不良事件 [[DNS/運用/SPF/docomo.ne.jp]] NXDOMAIN 誤答 [[watchA/NXD]] [[watchA/login.live.com]] 事件 [[watchA/trafficmanager.net]] [[DNS/ENT/NXDOMAIN]] awsdns 返答 Fintech Giant Fiserv Used Unclaimed Domain : https://krebsonsecurity.com/2021/03/fintech-giant-fiserv-used-unclaimed-domain/ jpn.ph (DDNSドメイン) 期限切れ、広告表示 関連して、ieserverの期限も近づいている。どうなるか。 wunterlist 盗用 (Microsoft買収後、放置されていた。回収ずみ) mashupaward.jp 盗用 (recruit 買収、放置されていた。通知後、回収ずみ) notion.so 消失 (phishing利用報告で、clientHold、復活) [[DNS/詐取/perl.com]] 発覚 cd ccTLDが乗取から救われた。 https://twitter.com/beyondDNS/status/1351013776619941889?s=20 {{{ The domain — scpt-network.com — was one of two nameservers for the .cd country code top-level domain, assigned to the Democratic Republic of Congo. Oct 1 23:09 2020 cd @igubu.saix.net cd @ns-root-1.scpt-network.net cd @ns-root-2.scpt-network.net cd @ns-root-5.scpt-network.net cd @sabela.saix.net cd @sangoma.saix.net Mar 11 2017 cd ns1.pch.nic.cd cd igubu.saix.net cd sabela.saix.net cd dns.princeton.edu }}} 対策が持ち越されている脆弱性: lame delegation, SADDNS, fragmentation attack, cache poisoning DNSSECに頼るのは、負担が大きすぎる。-- ToshinoriMaeno <> UDPの利用を減らし、TCPを利用するのがよい。 sharp TLD サブドメインの問題 : 欠陥設定をするところがTLDを運用しているとは。 == 2020 == JPRS によるまとめ(騙されないように) https://jprs.jp/related-info/important/2020/201224.html [[DNS/gTLD/sharp]] サブドメインの設定は間違いだらけ。 [[DNS/saddns]] 対策はお済みですか。https://www.saddns.net/ [[DNS/lame_delegation]] 共用DNS(ゾーン)サービスの弱点を利用する[[DNS/乗取]]が可能です。 [[DNS/脅威/共用ゾーンサービス]] [[DNS/flag_day/2020]] フラグメント化された返答は一部をすり替えて毒盛されます。 Three Ways DNS is Weaponized and How to Mitigate the Risk https://threatpost.com/three-ways-dns-is-weaponized-and-how-to-mitigate-the-risk/142759/ The Five Most Dangerous New Attack Techniques https://www.eweek.com/security/the-five-most-dangerous-new-attack-techniques == 2019 == レジストラ(アカウント)を狙った攻撃が多発しているようです。-- ToshinoriMaeno <> Emergency Directive 19-01 https://cyber.dhs.gov/ed/19-01/ January 22, 2019 Mitigate DNS Infrastructure Tampering Feb 19 A Deep Dive on the Recent Widespread DNS Hijacking Attacks https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/ DHS(CISA) : DNSハイジャックへの警告 https://cyber.dhs.gov/ed/19-01/ https://cyber.dhs.gov/blog/#why-cisa-issued-our-first-emergency-directive ICANNによる便乗宣伝(DNSSEC) Measures against cache poisoning attacks using IP fragmentation in DNS https://tools.ietf.org/html/draft-fujiwara-dnsop-fragment-attack-01 ---- Fingerprint-based detection of DNS hijacks using RIPE Atlas https://www.ietf.org/proceedings/99/slides/slides-99-maprg-fingerprint-based-detection-of-dns-hijacks-using-ripe-atlas-01.pdf Knot resolver 1.2.6を入れたら、実用的には十分な毒盛対策が入っていたので、  しばらくはこれを使ってみます。[[kresd]] [[DNS入門]] と [[DNSの基礎]] をまとめはじめました。  まずはこれらを見て、基礎を確認してください。 -- ToshinoriMaeno <> Knot Resolverを少し手直しして、使いはじめました。  毒盛対策は十分です。-- ToshinoriMaeno <> [[DNS/1/security]], [[DNS/セキュリティ]] もご覧ください。 DNS毒盛以外にもさまざまな弱点があります。運用には特に注意です。 -- ToshinoriMaeno <> [[DNS/ハイジャック]] : さまざまな使い方をされています。  レジストラ情報の書き換えから、ルーター設定の変更まで。 ---- domain Connect: https://engineering.godaddy.com/seamlessly-connecting-domains-services-domain-connect-2-0/ Knot Resolver 1.1.0 DNS/TLS, DNS Cookiesがサポートされたが、もっと単純なDNS毒盛対策はまだだ。   off-path 毒盛に対応するといいながら、バランスを欠く対応だと思いませんか。 -- ToshinoriMaeno <> [[DNS/実装/リゾルバー計画]] 始動; 完成するかは不明; python/dnslib 利用 -- ToshinoriMaeno <> ---- ふだん使っているunboundで、外部問い合わせにはTCPだけを使うように設定してみました。  unbound.confでの関連項目 {{{ do-tcp: yes tcp-upstream: yes }}} 接続が非常に遅くなったサイトがありますが、接続できないところには当たっていません。 -- ToshinoriMaeno <> 接続できないところが複数あって、今はUPDも使うように戻しました。-- ToshinoriMaeno <> [[../python-dnslib]] こんなに使えるツールを知らなかったとは。-- ToshinoriMaeno <> https://www.icann.org/en/system/files/files/final-report-20jun12-en.pdf Final Report of the Security, Stability and Resiliency of the DNS Review Team 20 June 2012 Kaminsky流攻撃によるNS毒盛は簡単に防御できます。  毒盛されるのはリゾルバー実装の欠陥です。 RFCで禁止されていないから不良ではないという主張はセキュリティに配慮しない 時代の話です。 -- ToshinoriMaeno <> http://www.efficientip.com/resources/white-paper-dns-security-survey-2016/ most businesses still rely on the 'out-of-the-box’non-secure DNS servers offered by Microsoft or Linux servers. https://www.petekeen.net/dns-the-good-parts Domain Name System (DNS) Cookies May 2016 [[DNS/1/security/cookies]] https://tools.ietf.org/html/rfc7873 {{{ With the use of DNS Cookies, a resolver can generally reject such forged replies. }}}  Cookieを使えるなら、off path attackは気にする必要はなくなるか。普及すれば。 WPAD関連の静寂性: 新たなgTLDとの関連  漏れだすDNS問い合わせ netとcomのサーバが同居していることからくる混乱 (Verisign) [[TLD/net]] [[TLD/com]] リゾルバーの実装不良も root-servers が返してくる*.gtld-servers.netのAレコードを   キャッシュにAレコードとして入れてしまっていることで、解決できているのが現状らしい。 このことはglueはキャッシュに入れないという実装を使って確認した。-- ToshinoriMaeno <> DNSSECを使っているなら、out-of-bailiwick Aレコードをキャッシュしても問題はないという主張があるが、 多分間違いだろう。-- ToshinoriMaeno <> [[DNS/返答/NXDOMAIN]] を活用して、毒見する。 [[DNS/毒盛/Kaminsky手法/対策はある]] UDP checksum 0 問題 (これもVerisign) [[DNS/1/UDP/fragmentation]] ---- Ciscoの障害:2016-03-19 https://www.reddit.com/r/networking/comments/4b2bgo/cisco_website_is_down/d15iu63  www.cisco.comが一時消滅していたようだ。[[watchWWW/cisco.com]] 徳丸さんによる記録:  http://kawaguchi.tokyo.jp/dig-cisco.txt 存在しないときの返答はこうなる。 {{{ $ dig nonexistent.cisco.com @ns1.cisco.com ; <<>> DiG 9.9.5-3ubuntu0.8-Ubuntu <<>> nonexistent.cisco.com @ns1.cisco.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 34555 ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;nonexistent.cisco.com. IN A ;; AUTHORITY SECTION: cisco.com. 86400 IN SOA edns-aln1-1-l.cisco.com. postmaster.cisco.com. 16034550 7200 1800 864000 86400 ;; Query time: 155 msec ;; SERVER: 72.163.5.201#53(72.163.5.201) ;; WHEN: Sat Mar 19 21:19:05 JST 2016 ;; MSG SIZE rcvd: 111 }}} [[DNS/ACTIVE]] 総務省 [[DNS/blockstack]] : Blockstack is decentralized DNS and identity. [[/glibcの不良]] PCはglibcにパッチしてmake install; rebootで済むが、  組み込み機器やルータなどが問題に。 ASUSはルータなどの脆弱性でFTCと取引した。  日本のルータは大丈夫なのだろうか。 Remove “Ads by DNS Unlocker” virus (Uninstall Guide): https://malwaretips.com/blogs/ads-by-dns-unlocker-removal/ Protect yourself against DNS tunneling http://www.infoworld.com/article/3027195/security/protect-yourself-against-dns-tunneling.html ---- [[DNS/索引]] 2016年もよろしく。-- ToshinoriMaeno <> DNSの構造な問題点が悪用されるようになってきていると感じています。   これまでの警告を整理しておきたいものです。 [[DNS/2016]] [[DNS/2015]] [[Letsencrypt]] https://letsencrypt.readthedocs.org/en/latest/ ---- 赤い日付のところをクリックしてください。HelpOnMoinWikiSyntax http://moinmo.in/HelpOnMoinWikiSyntax <> <> == 2015 == DNS(サーバ)への攻撃は日常化するだろう。<> 攻撃以前:  cybertrust.ne.jp アクセス問題 (証明書の失効確認がDNS依存という構造的問題)    == 2014 == 重大な毒盛手法の再発見と脆弱なドメインが指摘された。 [[DNS/毒盛再考]] [[DNS/委任毒盛]] JPRS は Kaminsky 型攻撃への対策を繰り返しただけで、 jp/dns.jp の分離(親子ゾーン同居解消)については説明していない。 -- ToshinoriMaeno <> Googleの運営するblogspot.jpのDNS設定がおかしくなっていたが、2日も影響があったのに説明がないまま。 -- ToshinoriMaeno <> JPRSは「未熟なDNS」と言うだけで、運用の問題には責任がないかのような発言、あるいは沈黙。 == 2013 == [[/2013]] オープンリゾルバー根絶というおかしなスローガン == 2012 == 親子ゾーンを同一のサーバでサービスしていると: [[DNS/IW2012/ランチセミナー]] 2012-12-12 [[watchNS/tumblr.com]] domains, www などの A レコードが消滅していた。 2012-12-11 [[facebook.com]] にアクセス障害発生、www.facebook.com 関連のDNS設定ミスらしい。 報告なし tumblr.com がocn 系の一部のアクセスを落としていたらしい。 報告なし。(ocn は自社のせいではないとだけ) [[共用DNSサービスの危険性]] 危険性を再調査しています。 [[DNS/サービス/同居を許さない]] という案を作りました。 ro の次は rs TLDのレコードが書き換えられている。[[watchNS/paypal.rs]] など。 https://twitter.com/OrangeMorishita/status/276870530622160897 レジストラがやられたとのこと。 //Portion of RNIDS DNS database managed by the registrar „NINET Company d.o.o.“ hacked http://rnids.rs/en/news/portion-of-rnids-dns-database-managed-by-the-registrar-%E2%80%9Eninet-company-doo%E2%80%9C-hacked/id/4032 == 2011 == 「浸透いうな!」キャンペーン DNS関連のできごとのまとめ: [[DNS/ゾンビの館]], [[DNS/歴史/2012]], [[DNS/歴史/2011]]