- 1 名前:名無しさん@お腹いっぱい。 [2008/07/23(水) 23:13:15 ]
- (前略)
今回の脆弱性についてはUS-CERTなどが7月上旬にアドバイザリーを公開。しかし、詳しい内容は伏せられており、
セキュリティ研究者のダン・カミンスキー氏が8月のBlackhatで発表する予定になっていた。
ところが手違いで、詳細情報が一般に公開されてしまったという。攻撃者がこれを利用すれば、悪用コードを
作成してDNSキャッシュポイズニング攻撃を仕掛けることが可能になる。
US-CERTのアドバイザリーでは、システムにこの脆弱性が存在するベンダーとしてCisco Systems、Debian
GNU/Linux、FreeBSD、富士通、Hewlett-Packard(HP)、IBM、Internet Systems Consortium(ISC)、Juniper Networks、
Microsoft、Novell、Red Hat、Sun Microsystems、SUSE Linux、Ubuntuなどを挙げている。
(以下略)
DNS脆弱性の詳報が手違いで流出
www.itmedia.co.jp/news/articles/0807/23/news031.html
DNS終了
- 101 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/10(日) 22:18:55 ]
- >>100
海外のBIND板だと対抗策も出てるけど、本家+第三者加工プログラムみたいな感じで導入が難しいな
Windows環境だと今の所完全防御は絶望的
- 102 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/11(月) 07:49:48 ]
- でもさ、ポイズニングって送信元IPアドレスの
詐称ができないとだめなんでしょ?
ISPは出て行くパケットについてのチェックをしてないのかな。
- 103 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/11(月) 14:58:41 ]
- >>102
その出て行くパケってのはサーバと言う意味で書いてるの?契約ユーザーいう意味で書いてるの?
管理者の手元にあるサーバからは改変されたパケなんて出ないからチェックする意味が無い
ユーザーからは改変されたパケが飛ぶかもしれないが、それが何を意味するか分からないのに止めたら大問題だ
都合、チェックをする意味が無い
チェックをしたとしても赤の他人のサーバにそれを信じろと言うのは無理だろ?
だからサーバは入ってくるパケの整合性を調べる努力をするしかない
- 104 名前:名無しさん@お腹いっぱい。 [2008/08/19(火) 01:44:53 ]
- で
結局被害は無しなのな
- 105 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/19(火) 20:50:37 ]
- >>104
へ?被害でてるじゃん?
ネット系のニュースで一週間以上も前に見たぞ
いくつか出てたうちの一つはアフィリエイト目的のページに数千人単位で誘導するという豪快なんだか小悪党なんだか分からないやつだったけど
あれがウイルスバラマキじゃなかったから大騒ぎになってないだけ
- 106 名前:名無しさん@お腹いっぱい。 [2008/08/19(火) 21:43:40 ]
- >>105
それって誘導されただけで
被害って程じゃないジャン
振り込め詐欺ぐらいのはないの?
- 107 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/20(水) 01:59:12 ]
- 誘導に成功してるって事は、ルール無用の自前サーバで何でも出来るって事と同義だよ
あと、折角丁寧にネット上の足跡を消したのに、振り込め詐欺を行うと口座から何から全部残ってしまうから普通はしない
やるならカードの暗証蛮語を入力させる方式で、全世界の好きな所でお金をおろせる方を選ぶだろうね
因みにアフィリエイトに誘導しただけで、検索場を提供してる側には営業利益的に軽く数百万の被害が出ている
キャッシュをクリアした直後の効率低下も考えれば数字にならない阻害も大きい
勿論アフィリエイトを登録されていた側も詐欺的な手法で出来高払いを行わなければならないので、払っていたら被害金額として、払わなくても詐欺の被害を受けている事になる
エンドポイントである一ユーザーの被害は聞こえてこなくても、既に十分に被害が出てるよ
- 108 名前:名無しさん@お腹いっぱい。 [2008/08/20(水) 07:47:20 ]
- アフィリエイト提供側に被害って・・・・
誘導してくれてむしろありがとうだろうw
- 109 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/21(木) 19:10:57 ]
- アフィリエイトは相手に悪い印象を与えたら商品のイメージが最悪になる
だから日本の普通のアフィリエイトは小さく邪魔せずページの内容に沿った物が表示される事が多い
検索から誘導されて飛んだページにアフィリだけ置いてあって、しかもページが怪しさ満点だったりするとアフィリまで怪しいと思われかねない
誰も飛ばないバナーなのに表示するだけで金が取られるってアフィリの会社からすると最悪だよ
- 110 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/21(木) 20:53:22 ]
- >>109
おまえ、アフィリエイトの仕組み分かってないだろ?
商品の宣伝なんぞのためにアフィはそんざいしているのではないよ
正確には広告主の要望にしたがってサイトを運営してもらうために
金をばら撒いている、というのが本音
- 111 名前:名無しさん@お腹いっぱい。 [2008/08/22(金) 09:13:28 ]
-
「ネットの基幹インフラに重大欠陥 暗証番号盗み見も」
www.nikkei.co.jp/news/main/20080822AT2G2100D21082008.html
・・・基幹インフラである「DNSサーバー」に欠陥が見つかったとして
注意を呼びかけ始めた。・・・
- 112 名前:名無しさん@お腹いっぱい。 [2008/08/22(金) 09:42:40 ]
- >>111
>被害事例はまだ報告されていないものの
- 113 名前:名無しさん@お腹いっぱい。 [2008/08/22(金) 09:44:16 ]
- cache poisoning自体はずいぶん昔から指摘されていた欠陥だしね今さらな感も
- 114 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/22(金) 15:30:53 ]
- DNSの脆弱性問題でISPに被害
www.itmedia.co.jp/news/articles/0807/31/news021.html
- 115 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/22(金) 15:41:52 ]
- >>111
と
>>114
の内容は違うんじゃないのか?
>>111 のは"DNSサーバーに偽の住所情報を大量に送りつけると"ってあたりが一連のDNS Spoofingと違う気がする
>>114 のは例の"ポートが固定されていたら〜"から派生する内容だよね?
>>111 の具体的な方法はどんなものだろう?日経の記事は必要以上に丸められていてわからん
- 116 名前:名無しさん@お腹いっぱい。 [2008/08/22(金) 17:20:47 ]
- >>115
いやたぶん同じことを言おうとしているんだと思う
日本ネットワークインフォメーションセンターとやらが
この時期別の危険性を声高に叫ぶはずないでしょ
- 117 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/22(金) 22:13:20 ]
- ttp://www.nic.ad.jp/ja/topics/2008/20080822-01.html
いまごろ知ったのか>日経
- 118 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/23(土) 02:23:09 ]
- 日経・・・日本のオンライン経済活動に疎いんじゃないのか
何にしてもあの記事の書き方は知識がある人が見ても謎な文章だから、そうじゃない人には尚更だっただろう
もしかしてネットワーク系の会社の株を操作したんじゃあるまいな〜
多分ちょっとは下がってるはずだし、場の雰囲気が悪化したと思うが
- 119 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/27(水) 06:49:07 ]
- 今、NHKでこれのニュースが有った。
「専用のプログラムを使用すれば対策出来る」とのこと。
被害例として、金融システムにアクセスしようとしたら、詐欺サイトうんぬん。
煽ってる割には、だからどうすんねん!というニュースでした。
- 120 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/27(水) 08:50:32 ]
- >「専用のプログラムを使用すれば対策出来る」
なんと便利な解説>NHK
この言葉,いつでも使えそうだな(笑
- 121 名前:名無しさん@お腹いっぱい。 [2008/08/29(金) 18:53:12 ]
- これに絡んでエンタープライズウォッチで自社製品の売り込みしてる
おっさんの記事見て思ったんだけど、
自由度40億で破るのに10時間かかるなら、DNSのリクエストを2回送って
二つのレスポンスをクロスチェックするだけで、
自由度が1600京になって安全性を確保できるんじゃね?
- 122 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/29(金) 20:16:11 ]
- そう言うのはBINDの有志が組んだものがあるけど、最初の名前解決に恐ろしい程時間がかかるよ
個人なら耐えられるけど、ISPでは耐えられないかも
あと、複数参照は攻撃された部位が上流の場合は同じ汚染情報を受け取ってしまうのも弱点
個人的にはDNSSECお勧め
- 123 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/30(土) 05:10:10 ]
- 問い合わせ二回だから時間が2倍になるってこと?
それ以上というニュアンスで受け取ったけど、なぜだろう・・・?
- 124 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/31(日) 02:22:25 ]
- まずフォワード先は最低3カ所は必要
なぜなら二つではどちらかが汚染されてたとしても同数だから多数決で判断できなくなるから
フォワード先は上流の分かれた奇数カ所が望ましいとされている
日本の場合は外部からの再帰的問い合わせに答えるDNSサーバが80カ所以上あるので、これは何とかなる
フォワード先を増やすと、基本的には全ての解決が終了してからでないと汚染確認が始まらない
フォワード先のDNSサーバが名前解決を失敗したり、回線の都合で立ち消えになったりすると、タイムオーバーまで名前解決が停止する
一度キャッシュされた後は通常と同じ速度で再帰的問い合わせに答えるが、キャッシュ生存時間が過ぎれば再び同じ手順を経る事になる
多数のフォワード先を利用する都合、最も遅いDNSサーバの影響を大きく受ける
自分の上流のDNSサーバ以外を利用する為、今まで5〜10msで解決出来ていたものが20〜40ms掛かるようになり、更に汚染確認の処理が入る為50msを越える事が多くなる
- 125 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/31(日) 20:33:57 ]
- >>124
分からないので教えてほしいのですが、
外部のフォワーダ3台以上使って各応答を検証する特殊な仕組みを作るより、
普通のフルサービスリゾルバ持って自力でルートから素直に辿るほうが
自然そうなんですけれど、それじゃ駄目?
- 126 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/08/31(日) 23:39:07 ]
- >>125
124じゃないが答えてみる
その方法だと一部のサーバにすげぇ無理が行くし、フルサービスリゾルバって結局は他力本願なキャッシュサーバーだよな
そこに問い合わせる方法が安全でも中身が腐ってたら意味なさそう
あと124も分かってて端折ってるのかも知れんが直接攻撃でキャッシュ書き換えられたらどーしよーもない
多数のフォーワードに聞きに行く方法は自分は攻撃されないだろうという楽観的な対策のひとつに過ぎんよ
- 127 名前:名無しさん@お腹いっぱい。 [2008/09/01(月) 00:14:18 ]
- やっぱり根元的な対策はDNSSECしかないのでは
- 128 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/01(月) 07:40:58 ]
- 根本的な問題として,
IPにおける送信元アドレスの詐称は動揺もないのか?
- 129 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/01(月) 07:41:18 ]
- 動揺→どうしよう
- 130 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/03(水) 00:07:25 ]
- 技術的には可能だろうけど、主観時間的に不可能だし、予算的に不可能だし、フォーマット的に不可能だと思う
- 131 名前:名無しさん@お腹いっぱい。 [2008/09/05(金) 09:55:17 ]
- 何か全然被害ないねえ
ハッカーどうしたの?
- 132 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/06(土) 02:31:38 ]
- OCNだけどようやくGREATになった
- 133 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/06(土) 10:39:51 ]
-
詳細が明かされたDNSキャッシュ・ポイズニングの新手法
ぜい弱性の有無のチェックと対策は計画的かつ確実に
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20080811/312660/
- 134 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/06(土) 11:12:57 ]
- テストできないよね?
https://www.dns-oarc.net/oarc/services/dnsentropy
- 135 名前:名無しさん@お腹いっぱい。 [2008/09/06(土) 11:45:10 ]
- ん? できたけど
ちなみにbiglobeだけどすべてGREATですた!
- 136 名前:124 mailto:sage [2008/09/06(土) 20:36:41 ]
- >>126
ごめんなさい、やっぱり分かりません。私が意図してたのは、
・各応答を検証する仕組みは、自宅 or 自サイトで持つサーバで作るのだろう(推測)
・その仕組みから、ヨソ(外部組織)の野良キャッシュサーバを多数使う?
・それなら自宅内で BIND でも何でもいいからあげて、ルート→jp→co.jpと順次辿る、
ルートサーバとオリジンサーバを信じる普通のやり方でいいのでは。
ということです。
検証のため(?)という理屈で知らない人からの再帰クエリーを送りつけられる、
ヨソのキャッシュサーバたちの方が「一部のサーバにすごい負荷」な状態に
あたるのではないかなと。
「直接攻撃でキャッシュ書き換えられたらどーしよーもない」には同感です。
外部組織からの再帰検索を受けつける甘いサーバより、自宅 BIND の方が信じられそう。
- 137 名前:名無しさん@お腹いっぱい。 mailto:sage [2008/09/12(金) 12:17:12 ]
- support.microsoft.com/kb/956190/
NATの下のプライベートなDNS(Win2003のDC)だけど関係あんの?
- 138 名前:名無しさん@お腹いっぱい。 [2008/09/17(水) 14:32:50 ]
- 「攻撃トラフィック」発信源、ワースト1位は日本 | WIRED VISION
wiredvision.jp/news/200809/2008091122.html
>攻撃トラフィックの発信源、すなわち「分散型サービス拒否」(DDoS)攻撃や、
>ハッキング行為、DNS(ドメイン・ネーム・システム)ハイジャックのトラフィ
>ックが特に多かったのは、日本[30.07%。前期の3.56%(7位)から急浮上した]、
>米国[21.52%]、中国[8.90%]、ドイツ [5.56%]だった。
- 139 名前:名無しさん@お腹いっぱい。 [2009/02/25(水) 11:54:41 ]
-
DNS (Domain Name System) 総合
pc11.2ch.net/test/read.cgi/network/1159978850/l50
- 140 名前:名無しさん@お腹いっぱい。 [2009/10/21(水) 14:06:16 ]
- 誰か教えて下さい。
うちのサイトをグーグルのキャッシュで表示すると
全然別のドメインでクッキー許可のポーズ画面(プイバシーの警告)が表示されます。
(当サイトではそもそもクッキーは使用していません。)
詳細情報を見ると searchportal.information・・・何とかかんとかの文字が・・・
「searchportal.information」をグーグルで検索すると
DNSポイズニングsearchportal.information.comがやってきた! - SEO
www.search-seo.info/2008/11/dnssearchportalinformationcom.html
DNSポイズニングってヤバイのでしょうか?
新種のアタッキングでしょうか? 対処方法はないでしょうか?
そもそも何故グーグルのキャッシュページにプライバシーの警告画面がでるんでしょうか?
誰か教えて下さい。
|
 |
