新たなDNSキャッシュポイズニング手法、第一フラグメント便乗攻撃について - 仙豆のレシピ
以前IPv6 summitに参加したときに聞いたお話の中にあった、昨年(2013年)8月に発表された新たなDNSキャッシュポイズニング手法「第一フラグメント便乗攻撃」について興味がわいたのでいろいろ調べたり実際にできるのかを試したりしてみました。(もちろん自分の管理するクローズドな環境で) 第一フラグメント便乗攻撃をグーグルで検索しても個人のブログ等が出てこないのでこれが第一「第一フラグメント便乗攻撃」便乗エントリです(別にうまくない) 攻撃コード等ありますが、けっして自分の管理する環境以外に使用しないでください 第一フラグメント便乗攻撃とは 第一フラグメント便乗攻撃とは、DNS応答がフラグメントされた場合DNS応答の同定に使える要素(UDPポート番号、問い合わせID、問い合わせ名)が一つ目のフラグメントにしかないことを利用し、二つ目のフラグメントを偽装することによって毒入れをするというD
オープンリゾルバ問題、立ちふさがるはデフォルト設定?
オープンリゾルバ問題、立ちふさがるはデフォルト設定?:JANOG 31.5 Interim Meetingレポート 4月19日に開催されたJANOG 31.5 Interim Meetingの「DNS Open Resolverについて考える」では、ネットワーク管理者はもちろん、ネットワークサービス提供者や機器ベンダなど、インターネットにさまざまな立場から携わるメンバーが、それぞれの立場で取ることができるオープンリゾルバ対策について議論が交わされた。 「自分が管理しているネットワークには、オープンリゾルバ状態のDNSサーバは存在しない」、そう断言できるネットワーク管理者やユーザーはどれだけいるだろう。3月に発生した史上最大規模のDDoS攻撃をはじめ、他者への攻撃に荷担していないと言い切れるだろうか? 実は、CloudFlare(3月18日ごろから発生した「Spamhaus」に対する大規模な
DNSのセキュリティ拡張“DNSSEC”入門 | NTTPCコミュニケーションズ
DNSと脆弱性 DNS(Domain Name System)は、ドメイン名(www.nttpc.co.jp等)から対象のサーバーのIPアドレスを教えてくれるシステムです。Webページを見たり、メールをするために、無くてはならないものだということは皆さんご存知かと思います。 そのような重要なシステムであるのにも関わらず、DNSは通信のほとんどにUDP(User Datagram Protocol)を使っていたり、受け取った答えが正しいものかチェックしていなかったりと、大雑把な作りとなっています。それにはさまざまな背景があるのですが、そこを突いた攻撃や脆弱性が最近でも発見されています。 下に攻撃の一例を挙げます。 上記で述べたように、キャッシュDNSサーバー側で受け取った情報が正しいかどうかをチェックしていないため、攻撃者が不正な応答を紛れ込ませると、キャッシュDNSサーバーはその応答を正
レジストラが登録ドメインを、停止ではなくNSを書き換える(そしてレジストリがそれを許可している)、ということ。
で、こっちが本題。 普段はあまり、こういう事象については触れない(つぶやく程度)にしているんですが、抱えている危険性が大きすぎる気がするので、正確でない箇所があるとしても書いておこうと思いました。 経緯 前投稿で書いたように、例えばメール送受信は、DNSサーバが正しく(意図したとおりに)設定されていることが大前提として機能しています。 従来、「メールセキュリティ」といえば前投稿の2つ目の手順(SMTP通信)の方がキーであって、DNSで名前解決までは(DNS毒入れ以外は)信用できる前提でした(過去形)。 ところが、お名前.com 、忍者ツールズが関連した、この前提が無効化されるような事象が発生しています。 詳細は http://www.geekpage.jp/blog/?id=2012/7/18/1 あたりが詳しいのでご覧いただければと。 レジストラがそんなことをしてしまうこと、そしてレジス
2012.07.13【お知らせ】忍者ツールズ全サービスが表示不可となる障害につきまして|お知らせ|ドメイン取るならお名前.com
ドメインのご利用ならこちらがおトクです(ドメイン永久無料!さらにサーバー初期費用無料&月額最大2ヶ月無料!)
NSD - About
The NLnet Labs Name Server Daemon (NSD) is an authoritative DNS name server. It has been developed for operations in environments where speed, reliability, stability and security are of high importance. NSD has a pure design philosophy that prioritises raw performance. This means that if you serve hundreds of thousands or even millions of queries per second, NSD is the leading implementation in th
iOSのアップデートで8.8.8.8を使うのは回避策であって解決策ではない (was iOSがアップデートできないのはISPかブロードバンドルータの障害)
EPIC2014 Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。 追記: 3/14 お昼の観測では、応答自体は解決したように見えます。少なくともOCNでは応答が512byteを下回りました。 8.8.8.8にすれば良いというふうにしか読み取られない残念な状況が生じているようなのでタイトルを変更しました。ショートカット症候群が蔓延していますね。8.8.8.8 など自分の ISP の外にある DNSキャッシュサーバを用いていると広域負荷分散サービスで最適なサーバを割り当てることができず著名なサイトとの通信が遅くなる可能性があります。 twitterで「iOS アップデート 8.8.8.8」で検索すると阿鼻叫喚が観測できます。iOSのアッ
Chromeが起動時に三つのランダムなドメインに接続しようとする理由
“Chrome connects to three random domains at startup.” — Mike West Chromeを起動した際、http://aghepodlln/とかhttp://lkhjasdnpr/のようなランダムなドメインへの接続を試みる。何でこんなコトをしているのかという見当はずれの推測が、いくつか出回っている。事実としては、この挙動は必要なのだ。以下の説明で、この疑問を晴らす。 このような接続要求の目的は、現在使用しているネットワークが、存在しないホスト名への接続要求を検知して勝手にリダイレクトするかどうかを判定するものである。例えば、少なからぬISPが、http://text/のようなDNSルックアップの失敗に対し、http://your.helpful.isp/search?q=text(あなたの親切なISP)へリダイレクトしている。この「親切
「ghost domain names(幽霊ドメイン名)」脆弱性について
--------------------------------------------------------------------- ■「ghost domain names(幽霊ドメイン名)」脆弱性について 株式会社日本レジストリサービス(JPRS) 初版作成 2012/02/17(Fri) 最終更新 2012/04/05(Thu) (BIND 9における対応状況、解決策を追加) --------------------------------------------------------------------- ▼本文書について 2012年2月8日(米国時間)に開催された研究発表会「NDSS Symposium 2012」 において、清華大学のHaixin Duan(段海新)氏らのグループが「Ghost Domain Names: Revoked Yet Still Reso
DNSでの「浸透」は家電の文脈における「マイナスイオン」と同じような言葉だから使うのやめよう! - mura日記 (halfrack)
「後は DNS の浸透を待つだけ」とかよく聞きますが、 DNS という技術に「浸透」という単語は存在しません。 それどころか、以下の点において、理工系の人間なら誰でも血圧が上がる「マイナスイオン」と同等です。お近くにいる DNS エンジニアの血圧が上がるので使うの止めましょう!*1 定義が無い 技術的にツッコミどころ満載 専門家ではない人たちが雰囲気で使っている 「DNS はインフラ」ならともかく、多少なりとも DNS で飯食ってるエンジニアは使うのを止めよう! 「浸透」の正確な定義 DNS 関連 RFC のどこにも浸透という単語は出てこないですし、浸透という単語の定義についてまともに解説してる Web ページがあったら教えてほしいです。 「DNS 浸透」でぐぐってるだけで血圧上がってきますよ、うわぁぁぁぁ! 定義がない用語なので「浸透」を使うのはやめよう! 「浸透」の巷での定義 巷でよく
RFC 6303: Locally Served DNS Zones
Internet Engineering Task Force (IETF) M. Andrews Request for Comments: 6303 ISC BCP: 163 July 2011 Category: Best Current Practice ISSN: 2070-1721 Locally Served DNS Zones Abstract Experience with the Domain Name System (DNS) has shown that there are a number of DNS zones that all iterative resolvers and recursive nameservers should automatically serve, unless configured otherwise. RFC 4193 speci
yebo blog: ドメイン情報の管理機能のみを持つDNSサーバ「Knot DNS」
2011/11/04 ドメイン情報の管理機能のみを持つDNSサーバ「Knot DNS」 チェコのNICが、高パフォーマンスでマルチスレッドに対応し、ドメイン情報の管理機能(Authoritative DNS)のみを持つオープンソースのDNSサーバ「Knot DNS」を開発しているとの事だ。ゾーン転送、ダイナミック更新、EDNS0、DNSSECなどの全ての主要機能を備えている。ベータ版バージョン0.8.0がダウンロードできる。 メールで送信BlogThis!Twitter で共有するFacebook で共有する 投稿者 zubora 投稿時間 17:53 ラベル: Developer, DNS, Open Source 0 コメント: コメントを投稿
IIJの技術・活動詳細 | 研究・開発 | IIJ - 独自開発によるDNSSECの実現
独自開発によるDNSSECの実現 DNSに対するセキュリティ機能の拡張であるDNSSECは、近年になって導入が開始されるようになったものの、実装がそろっていないため普及が遅れています。そこで、IIJでは、DNSSEC実現のためのすべての処理を独自に実装することに。特別な知識がなくても、ご利用のドメインをDNSSEC対応にすることを可能にしました。 ここでは、DNSSEC実現のための処理を独自開発した経緯を紹介します。 DNSSECとは IIJが提供している「IIJ DNSアウトソースサービス」は世界的に見てもまだ提供例の少ない、DNSSEC(DNS Security Extensions)に対応したDNSサービスです(2011年9月現在)。つまり、一歩進んだ安全なDNSサービスだと言えるでしょう。 さて、安全なDNSサービスとはなんでしょう。様々な観点がありますが、一歩進んだという意味では
8.8.8.8 が速くなった - どさにっき
2011年9月11日(日) ■ 9.11 _ 今日で震災から半年というのもそうなんだけど、9.11 テロから10年でもあるんだよな。10年前、生まれて初めての海外行きでその前日に US 入りしてヒドい目にあった。行き先はテロの攻撃があったところからかなり離れてて直接なにかあったわけじゃないけど、それでも予定していたことがまったく何もできなくなって、空港が再開するまでの間ホテルで CNN を見る以外なにもすることがなかった。おかげで evacuate という単語を覚えた。CNN で The Whitehouse is evacuated. The FBI is evacuated. てなテロップがずっと流れ続けてたのが強烈に記憶に残ってる。 _ あ、10年てことは、パスポートの有効期限切れてんじゃん。2回しか使ってない。 2011年9月12日(月) ■ 無題 _ 震災から半年経ち、9月も半ば
「欠陥ドメイン名」が世界的に増えそうな件について:Geekなぺーじ
JPRSが「JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定」というプレスリリースを出しましたが、それに対して高木浩光氏から問題提起及び公開質問状のが行われました。 さらに、徳丸浩氏が、実際にcookieで問題が発生することを検証されていました。 高木浩光@自宅の日記: JPRSに対する都道府県型JPドメイン名新設に係る公開質問 徳丸浩の日記: 都道府県型JPドメインがCookieに及ぼす影響の調査 高木浩光氏が以下のように述べられています。 何もしなければ、「都道府県型JPドメイン名」の登録が始まっても、cookieを利用できないなどの欠陥ドメイン名となることが予想される。 「都道府県型JPドメイン名」が開始されるにあたって、指摘されているような問題は実際に発生すると思われるので、JPRSが公開質問状に答えることを期待したいところです。 で、今回のこ
クラウド時代はDNS Pinningが落とし穴になる | 水無月ばけらのえび日記
公開: 2011年9月3日19時50分頃 モバツイ (www.movatwi.jp)の作者えふしんさんと、Twitterでこんなやりとりをしました。 OperaってDNSのTTL考慮してない?!多くのブラウザは安全性のために短すぎるTTLを無視したりしますが (DNS Pinning)、それとはまた違う話でしょうか?AWSのElastic Load Balancingで、動的にロードバランサーのサーバが増えたり減ったりするようで、夜明けのOperaがよく全然違うサービスに繋がってしまうことがあるんですよね。少なくともクッキーは送っちゃってますよね...あー、なるほど。それはまずいですね。これは盲点でした……。 OperaやIEなどは、DNSのTTLが短く設定されていても無視してキャッシュし続ける事があります。これはDNSの負荷を減らすというだけはでなく、セキュリティ上の意味もあり、「DNS
浸透いうな!
DNSの引越しをしたけどうまく切り替わらない。なかなか浸透しない。業者に問い合わせると「DNSの浸透には数日かかることもあります。お待ちください」と言われた。 、、、という話をよく聞きますが、「浸透」(伝播、伝搬、浸潤、反映などとも呼ばれる)ってなんでしょう? DNSの設定を変更するのは「浸透」という謎の現象に託す神頼みのような作業なのでしょうか。 2011.10.16 追記:「浸透」と言っている例 DNSの仕組み まず、DNSの仕組みと、特にキャッシュの動作について解説します。...と思いましたが、とっても大変なので省略します。ただ、権威サーバに登録された情報が世界中のキャッシュサーバに配信されるなどという仕組みは DNS には存在しません。浸透という人はそう思っているようですが。(こんなふうに) 「浸透」という言葉で騙されていませんか? 事前に変更したいDNSのレコードのTTLを短くし
どさにっき
2011年2月13日(日) ■ 雪中行軍 _ 天気予報では雪の3連休。どこに遊びにいこうかと考えて、平地で中途半端な雪に降られるよりも、いっそ山の中でめいっぱい雪に埋もれた方が楽しいだろ、ってことで裏磐梯。晴れることは期待してなかったけど、ホワイトアウトするようなひどい雪になることもなく、事前の予報のわりにはマシな天気だったんじゃないかな。ルート その1、 その2。 _ イエローフォール。黄色い氷瀑。わしが知ったのはつい最近だけど、けっこう有名らしく団体さんも何組か来てた。ずいぶん小さいように見えるけど、実際小さい:-)。下半分が雪に埋もれてるせいもあるけど。 磐梯山の火口原。木が生えてないところは、凍結した沼(銅沼)。 2011年2月14日(月) ■ 無題 _ 連休で遊びにいったときのおみやげを近くの席の人に「はい、バレンタインデー」と言いながら配り歩いたときのみんなのイヤそうな顔がすば
DNSポイゾニングによるブロッキングに意味はある? | 水無月ばけらのえび日記
なお、今回の会合で導入表明を行ったISPであるNTTコミュニケーションズとニフティでは、いくつかあるブロッキング手法のうち、「DNSポイズニング」と呼ばれる手法を検討しているという。これは、ISPの会員から自社のDNSサーバーに対して、遮断リストに含まれるホストについてのクエリーがあった場合に、ダミーのIPアドレスを返すことで該当サイトへのアクセスを遮断する方式だ。 「DNSポイズニング」って……これ、意味あるのでしょうか。ぱっと思いついただけでも以下のような問題があります。 ISPのDNSキャッシュサーバを利用しないとブロックされない。たとえば、Google Public DNSを使うだけでブロックを回避できる。ドメイン単位でのブロッキングしかできない。あるドメインの特定ディレクトリ以下にだけ問題があるような場合、問題のない部分も含めてドメイン丸ごとブロックするのか、ブロックしないかの二
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://jprs.jp/tech/material/IW2002-DNS-DAY-morishita.pdf