1. NEWS
心不在焉、視而不見、聽而不聞、食而不知其味。https://kanbun.info/keibu/daigaku07.html
the #DNS has never been secure in and of itself. https://heimdalsecurity.com/blog/dns-spoofing/
What's Normal: New uses of DNS, Discovery of Designated Resolvers (DDR) https://isc.sans.edu/diary/rss/30380
https://nvd.nist.gov/vuln/detail/CVE-2022-30295
Nozomi Networks Discovers Unpatched DNS Bug in Popular C Standard Library Putting IoT at Risk
https://twitter.com/kotaro03873195/status/1525340850045083648?s=20&t=OSiq1a23WTZz8u_x0FXbfQ
1.1. 2021
/facebook BGP 設定不良によるDNS喪失 2021-10-04
- DNS以外のサービスへの経路も失われていたはずだが、それより前にDNS情報が喪失していては到達できない。
slack.com DNSSEC 設定不良 (DNSSEC解除の失敗) watchNS/slack.com
docomo.ne.jp SPF 設定不良事件 DNS/運用/SPF/docomo.ne.jp
NXDOMAIN 誤答 watchA/NXD watchA/login.live.com 事件
DNS/ENT/NXDOMAIN awsdns 返答
Fintech Giant Fiserv Used Unclaimed Domain : https://krebsonsecurity.com/2021/03/fintech-giant-fiserv-used-unclaimed-domain/
jpn.ph (DDNSドメイン) 期限切れ、広告表示
- 関連して、ieserverの期限も近づいている。どうなるか。
wunterlist 盗用 (Microsoft買収後、放置されていた。回収ずみ)
mashupaward.jp 盗用 (recruit 買収、放置されていた。通知後、回収ずみ)
notion.so 消失 (phishing利用報告で、clientHold、復活)
cd ccTLDが乗取から救われた。 https://twitter.com/beyondDNS/status/1351013776619941889?s=20
The domain — scpt-network.com — was one of two nameservers for the .cd country code top-level domain, assigned to the Democratic Republic of Congo. Oct 1 23:09 2020 cd @igubu.saix.net cd @ns-root-1.scpt-network.net cd @ns-root-2.scpt-network.net cd @ns-root-5.scpt-network.net cd @sabela.saix.net cd @sangoma.saix.net Mar 11 2017 cd ns1.pch.nic.cd cd igubu.saix.net cd sabela.saix.net cd dns.princeton.edu
対策が持ち越されている脆弱性: lame delegation, SADDNS, fragmentation attack, cache poisoning
DNSSECに頼るのは、負担が大きすぎる。-- ToshinoriMaeno 2021-01-09 07:31:07
- UDPの利用を減らし、TCPを利用するのがよい。
sharp TLD サブドメインの問題 : 欠陥設定をするところがTLDを運用しているとは。
1.2. 2020
JPRS によるまとめ(騙されないように) https://jprs.jp/related-info/important/2020/201224.html
DNS/gTLD/sharp サブドメインの設定は間違いだらけ。
DNS/saddns 対策はお済みですか。https://www.saddns.net/
DNS/lame_delegation 共用DNS(ゾーン)サービスの弱点を利用するDNS/乗取が可能です。
DNS/flag_day/2020 フラグメント化された返答は一部をすり替えて毒盛されます。
Three Ways DNS is Weaponized and How to Mitigate the Risk https://threatpost.com/three-ways-dns-is-weaponized-and-how-to-mitigate-the-risk/142759/
The Five Most Dangerous New Attack Techniques https://www.eweek.com/security/the-five-most-dangerous-new-attack-techniques
1.3. 2019
レジストラ(アカウント)を狙った攻撃が多発しているようです。-- ToshinoriMaeno 2019-03-20 00:03:47
Emergency Directive 19-01 https://cyber.dhs.gov/ed/19-01/
January 22, 2019 Mitigate DNS Infrastructure Tampering
Feb 19 A Deep Dive on the Recent Widespread DNS Hijacking Attacks https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/
DHS(CISA) : DNSハイジャックへの警告 https://cyber.dhs.gov/ed/19-01/
ICANNによる便乗宣伝(DNSSEC)
Measures against cache poisoning attacks using IP fragmentation in DNS https://tools.ietf.org/html/draft-fujiwara-dnsop-fragment-attack-01
Fingerprint-based detection of DNS hijacks using RIPE Atlas https://www.ietf.org/proceedings/99/slides/slides-99-maprg-fingerprint-based-detection-of-dns-hijacks-using-ripe-atlas-01.pdf
Knot resolver 1.2.6を入れたら、実用的には十分な毒盛対策が入っていたので、
しばらくはこれを使ってみます。kresd
- まずはこれらを見て、基礎を確認してください。
-- ToshinoriMaeno 2016-12-09 23:15:18
Knot Resolverを少し手直しして、使いはじめました。
毒盛対策は十分です。-- ToshinoriMaeno 2017-05-19 00:24:07
DNS/1/security, DNS/セキュリティ もご覧ください。
- DNS毒盛以外にもさまざまな弱点があります。運用には特に注意です。
-- ToshinoriMaeno 2017-01-17 01:30:22
DNS/ハイジャック : さまざまな使い方をされています。
- レジストラ情報の書き換えから、ルーター設定の変更まで。
domain Connect: https://engineering.godaddy.com/seamlessly-connecting-domains-services-domain-connect-2-0/
Knot Resolver 1.1.0
- DNS/TLS, DNS Cookiesがサポートされたが、もっと単純なDNS毒盛対策はまだだ。 off-path 毒盛に対応するといいながら、バランスを欠く対応だと思いませんか。
-- ToshinoriMaeno 2016-08-12 11:40:56
DNS/実装/リゾルバー計画 始動; 完成するかは不明; python/dnslib 利用 -- ToshinoriMaeno 2016-08-18 07:50:38
ふだん使っているunboundで、外部問い合わせにはTCPだけを使うように設定してみました。
- unbound.confでの関連項目
do-tcp: yes tcp-upstream: yes
接続が非常に遅くなったサイトがありますが、接続できないところには当たっていません。 -- ToshinoriMaeno 2016-08-06 11:47:07
接続できないところが複数あって、今はUPDも使うように戻しました。-- ToshinoriMaeno 2016-08-12 11:40:56
../python-dnslib こんなに使えるツールを知らなかったとは。-- ToshinoriMaeno 2016-07-26 23:12:16
https://www.icann.org/en/system/files/files/final-report-20jun12-en.pdf
Final Report of the Security, Stability and Resiliency of the DNS Review Team 20 June 2012
Kaminsky流攻撃によるNS毒盛は簡単に防御できます。
- 毒盛されるのはリゾルバー実装の欠陥です。
RFCで禁止されていないから不良ではないという主張はセキュリティに配慮しない 時代の話です。 -- ToshinoriMaeno 2016-06-17 23:22:56
http://www.efficientip.com/resources/white-paper-dns-security-survey-2016/
most businesses still rely on the 'out-of-the-box’non-secure DNS servers offered by Microsoft or Linux servers.
https://www.petekeen.net/dns-the-good-parts
Domain Name System (DNS) Cookies May 2016 DNS/1/security/cookies
With the use of DNS Cookies, a resolver can generally reject such forged replies.
- Cookieを使えるなら、off path attackは気にする必要はなくなるか。普及すれば。
WPAD関連の静寂性: 新たなgTLDとの関連
- 漏れだすDNS問い合わせ
netとcomのサーバが同居していることからくる混乱 (Verisign)
- root-servers が返してくる*.gtld-servers.netのAレコードを
- キャッシュにAレコードとして入れてしまっていることで、解決できているのが現状らしい。
このことはglueはキャッシュに入れないという実装を使って確認した。-- ToshinoriMaeno 2016-04-18 06:47:33
DNSSECを使っているなら、out-of-bailiwick Aレコードをキャッシュしても問題はないという主張があるが、 多分間違いだろう。-- ToshinoriMaeno 2016-04-18 06:47:33
DNS/返答/NXDOMAIN を活用して、毒見する。
UDP checksum 0 問題 (これもVerisign) DNS/1/UDP/fragmentation
Ciscoの障害:2016-03-19 https://www.reddit.com/r/networking/comments/4b2bgo/cisco_website_is_down/d15iu63
www.cisco.comが一時消滅していたようだ。watchWWW/cisco.com
徳丸さんによる記録:
存在しないときの返答はこうなる。
$ dig nonexistent.cisco.com @ns1.cisco.com ; <<>> DiG 9.9.5-3ubuntu0.8-Ubuntu <<>> nonexistent.cisco.com @ns1.cisco.com ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 34555 ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;nonexistent.cisco.com. IN A ;; AUTHORITY SECTION: cisco.com. 86400 IN SOA edns-aln1-1-l.cisco.com. postmaster.cisco.com. 16034550 7200 1800 864000 86400 ;; Query time: 155 msec ;; SERVER: 72.163.5.201#53(72.163.5.201) ;; WHEN: Sat Mar 19 21:19:05 JST 2016 ;; MSG SIZE rcvd: 111
DNS/ACTIVE 総務省
- Blockstack is decentralized DNS and identity.
/glibcの不良 PCはglibcにパッチしてmake install; rebootで済むが、
- 組み込み機器やルータなどが問題に。
ASUSはルータなどの脆弱性でFTCと取引した。
- 日本のルータは大丈夫なのだろうか。
Remove “Ads by DNS Unlocker” virus (Uninstall Guide): https://malwaretips.com/blogs/ads-by-dns-unlocker-removal/
Protect yourself against DNS tunneling http://www.infoworld.com/article/3027195/security/protect-yourself-against-dns-tunneling.html
2016年もよろしく。-- ToshinoriMaeno 2015-12-31 15:27:41
- DNSの構造な問題点が悪用されるようになってきていると感じています。 これまでの警告を整理しておきたいものです。
Letsencrypt https://letsencrypt.readthedocs.org/en/latest/
赤い日付のところをクリックしてください。HelpOnMoinWikiSyntax
<< < 2024 / 11 > >> | ||||||
---|---|---|---|---|---|---|
Mon | Tue | Wed | Thu | Fri | Sat | Sun |
1 | 2 | 3 | ||||
4 | 5 | 6 | 7 | 8 | 9 | 10 |
11 | 12 | 13 | 14 | 15 | 16 | 17 |
18 | 19 | 20 | 21 | 22 | 23 | 24 |
25 | 26 | 27 | 28 | 29 | 30 |
1.4. 2015
DNS(サーバ)への攻撃は日常化するだろう。
攻撃以前:
- cybertrust.ne.jp アクセス問題 (証明書の失効確認がDNS依存という構造的問題)
1.5. 2014
重大な毒盛手法の再発見と脆弱なドメインが指摘された。 DNS/毒盛再考 DNS/委任毒盛
- JPRS は Kaminsky 型攻撃への対策を繰り返しただけで、 jp/dns.jp の分離(親子ゾーン同居解消)については説明していない。
-- ToshinoriMaeno 2014-07-01 00:00:52
Googleの運営するblogspot.jpのDNS設定がおかしくなっていたが、2日も影響があったのに説明がないまま。 -- ToshinoriMaeno 2014-11-27 00:23:31
JPRSは「未熟なDNS」と言うだけで、運用の問題には責任がないかのような発言、あるいは沈黙。
1.6. 2013
オープンリゾルバー根絶というおかしなスローガン
1.7. 2012
親子ゾーンを同一のサーバでサービスしていると:
2012-12-12 watchNS/tumblr.com domains, www などの A レコードが消滅していた。
2012-12-11 facebook.com にアクセス障害発生、www.facebook.com 関連のDNS設定ミスらしい。
- 報告なし
tumblr.com がocn 系の一部のアクセスを落としていたらしい。
- 報告なし。(ocn は自社のせいではないとだけ)
共用DNSサービスの危険性 危険性を再調査しています。
DNS/サービス/同居を許さない という案を作りました。
ro の次は rs TLDのレコードが書き換えられている。watchNS/paypal.rs など。
https://twitter.com/OrangeMorishita/status/276870530622160897
- レジストラがやられたとのこと。
1.8. 2011
「浸透いうな!」キャンペーン
DNS関連のできごとのまとめ: DNS/ゾンビの館, DNS/歴史/2012, DNS/歴史/2011