MoinQ:

1. DNS/毒盛/移転インジェクション/確認方法

/unbound /bind

/checker https://dnschecker.org/#A/xx1.flip.e-ontap.com

1.1. Authority Section の危険性

2008年にKaminskyが指摘したDNS毒盛攻撃手段の説明では具体的な攻撃手法はあいまいであった。(間違いもあった) 民田が示した例では、Answer Sectionのある返答を使い、そのAuthority/Additional sectionを毒とするものであった。

このAuthority/Additional sectionは必要があってつけているものではない。

そんな返答を受け入れるリゾルバーがあるのだろうか、というのがここで参照しているページが作られた理由だ。

2014年にMueller型NS毒攻撃の見直しを行ったときに、鈴木が指摘したものである。

キャッシュされたNSレコードを上書きするような攻撃も成立すると。

1.2. e-ontap.com

移転インジェクション脆弱性の確認方法: http://www.e-ontap.com/dns/flip.e-ontap.com.html

1.3. 説明と振る舞いが一致していない

1.4. 振る舞いからの推測

委譲元 (e-ontap.com ゾーン) では以下のように ns1.flip.e-ontap.com = 150.42.6.1 を指しています。
 flip.e-ontap.com.     86400 NS ns1.flip.e-ontap.com.
 ns1.flip.e-ontap.com. 86400 A 150.42.6.1

1.5. ns1.flip.e-ontap.com

;; ANSWER SECTION:
flip.e-ontap.com.       3600    IN      NS      ns.flip.e-ontap.com.

;; ADDITIONAL SECTION:
ns.flip.e-ontap.com.    3600    IN      A       150.42.6.1

1.5.1. ns.flip.e-ontap.com (150.42.6.1)

 *.flip.e-ontap.com.   60  A  150.42.6.1

これにより、問い合わせたサーバーが簡単に見分けられる。

10分を周期とし、前半、後半の5 分ごとに以下のようにゾーンデータを切り替えている。

1.5.2. 時間による返答の切替

前半0-5分

 flip.e-ontap.com.     3600  NS ns.flip.e-ontap.com.
 ns.flip.e-ontap.com.   3600  A  150.42.6.1

後半5-10分

 flip.e-ontap.com.     3600  NS ns.flip.internot.jp.

1.6. ns.flip.internot.jp (150.42.6.5)

*.flip.e-ontap.com.   60  A  150.42.6.5

NSなどの返答内容は150.42.6.1と同じである。

1.7. 脆弱性の確認方法

flip.e-ontap.com 下の名前のAレコードをキャッシュサーバーに何度も問い合わせる。

返ってくるアドレスが変化していれば、異なるサーバーに問い合わせたことになる。

どう使うかは、別に書きます。(-- ToshinoriMaeno 2018-04-06 13:40:00)

MoinQ: DNS/毒盛/攻撃手法/移転インジェクション/確認方法 (last edited 2024-09-12 03:42:14 by ToshinoriMaeno)