DNSプロトコルの脆弱性情報　漏洩する

[表示 : 全て最新50 1-99 101- 2chのread.cgiへ]
Update time : 11/15 03:08 / Filesize : 45 KB / Number-of Response : 141
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

DNSプロトコルの脆弱性情報　漏洩する

1 名前：名無しさん＠お腹いっぱい。 [2008/07/23(水) 23:13:15 ]: （前略）

今回の脆弱性についてはUS-CERTなどが7月上旬にアドバイザリーを公開。しかし、詳しい内容は伏せられており、
セキュリティ研究者のダン・カミンスキー氏が8月のBlackhatで発表する予定になっていた。

　ところが手違いで、詳細情報が一般に公開されてしまったという。攻撃者がこれを利用すれば、悪用コードを
作成してDNSキャッシュポイズニング攻撃を仕掛けることが可能になる。

　US-CERTのアドバイザリーでは、システムにこの脆弱性が存在するベンダーとしてCisco Systems、Debian
GNU/Linux、FreeBSD、富士通、Hewlett-Packard（HP）、IBM、Internet Systems Consortium（ISC）、Juniper Networks、
Microsoft、Novell、Red Hat、Sun Microsystems、SUSE Linux、Ubuntuなどを挙げている。

（以下略）

DNS脆弱性の詳報が手違いで流出
www.itmedia.co.jp/news/articles/0807/23/news031.html

DNS終了
25 名前：名無しさん＠お腹いっぱい。 [2008/07/28(月) 23:44:24 ]: ルータってプロバイダに取り次ぐだけでしょ？他から覗ける訳じゃないしプロバイダがちゃんとしてれば問題ないジャン
26 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/29(火) 00:32:46 ]: ファーミング詐欺始まったな
27 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/29(火) 01:56:13 ]: >>25
確かにルータは内部と外部をNATを通して取り次ぐだけだけど・・・
確認すれば分かる事だからはっきり書くけど、ルータは内向けのポートはどんなポートでも受け付けるけど、外向けの出口は綺麗に統一されて出て行く物が多いよ

今回の攻撃手法はPCやルータが外のDNSを見に行く時に攻撃する仕組みになっている
つまり、ルータの中が見えない事は攻撃側の難度を上げる事は出来るけど、外に聞きに行く時に嘘の情報を掴まされる事は防げない
ルータが正規のDNSサーバから名前解決を貰ったと思っていても、こっそり大嘘を掴まされてルータの内側のDNSクライアントのキャッシュが汚染される可能性がある

これをやられると外部のDNSサーバがどんなにセキュリティー万全でも防げない
防ぐ為にはルータから出て行く名前解決時のポートがランダムになっている必要がある

と言う訳で、ルータの中が覗けない事は攻撃者にとって攻撃に要する時間が長くなると言う効果しかない
同じポートさえ見張っていれば、いつかは目的のパケが出てくる可能性が高い訳だしね
狙われないだろうとは書いたけど、ちょっと竹島問題でも燃え上がれば日本人を絨毯爆撃する暇人が隣の大陸に大量に発生するかも知れない事を考えると、楽観は出来ない

「Googleにアクセスしたら新しいツールバーがダウンロード出来ると言うメッセージが表示され、OK押したら竹島の写真入りウイルスだった」

とか、すごくありそうじゃないか？
だからルータの出口がランダムかどうかは重要だよ
28 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/29(火) 02:10:32 ]: >>24
ヤマハは対応したのかな？
ファームを見に行ったけど、順次リリースってどういうこと？
リリースノートを見てもそれらしい修正は入っていないような気がするけど。
設定変更は載ってるね。
29 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/29(火) 02:27:21 ]: >>28
www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU800113.html
これの事だね

非公開β版テスターの情報によると、目下急ピッチで最終調整中らしいです
多分すぐロールアウトするんじゃないかな
30 名前：名無しさん＠お腹いっぱい。 [2008/07/29(火) 05:31:27 ]: forward onlyにしておけばいいのではないかな
31 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/29(火) 08:52:53 ]: >>30
forward only は自分のキャッシュの中に答えが無い場合は、fowardersに指定された外部のDNSに名前解決しに行くという意味
forward first との違いは効率と速度の問題だけなので、キャッシュに無い場合に最終的に外部に聞きに行く事には変わりが無いよ

キャッシュを探す→見つからないなら外部に聞きに行く→それでも見つからないならもう一度自分で探す→NXDOMAIN

only との差は、最終的な答えだけをキャッシュするか、それまでに得られた答えも全部キャッシュするか
後は first に「それでも見つからなければ・・・」の処理がある分だけ最終的な解決が遅くなる事
only はキャッシュと fowarders に答えが無い場合はすぐに諦める

両方とも外部DNSサーバーに聞きに出るのは同じなので、対策はしなけりゃならない
このオプションを書くと言うことはBINDだと思うんだけど、最新版でポートのランダム化は対策されてますよ
なので、後は外部DNSサーバーの確認とルータの確認だけだと思う
(DNSサーバーがタコの場合はOpenDNSがあるし、実質ルータだけですな)
32 名前：名無しさん＠お腹いっぱい。 [2008/07/29(火) 09:08:36 ]: >>31
>見つからないなら外部に聞きに行く
それここの説明と違うけど
tp://www.atmarkit.co.jp/flinux/rensai/bind915/bind915b.html
33 名前：名無しさん＠お腹いっぱい。 [2008/07/29(火) 09:11:58 ]: あいや同じか間違えてました
forwardersに対してだけであっても
自分の外に聞きに行くのは同じだから
この問題については違いはないと・・・・
34 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/29(火) 09:12:50 ]: あるNSに名前解決のUDPを飛ばす → そのNSが答えを返す
NSが答えを返す前に、嘘の答えを悪意者が返すってことですか？

その場合、悪意者のIPアドレスはNSのとは違うと思うのですが、返答してきた人のIPアドレスは
見ていないということですか？
35 名前：名無しさん＠お腹いっぱい。 [2008/07/29(火) 09:21:34 ]: >>34
そこがよく分からないよね
たしか前にinternicが乗っ取られたとき
ipアドレス確認するようにしたんじゃなかったの？
tp://www.hotfix.jp/archives/word/2005/word05-18.html
36 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/29(火) 12:21:55 ]: usen今だに対策してねー
37 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/29(火) 15:13:14 ]: ISPは対応してもルータのファームはそのままだよな。
抱き合わせでモデムルータ使ってるんだから対応汁。
38 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/29(火) 21:17:05 ]: >>34,35
UDPを使って一方方向の通信をするだけなので，
IPアドレスの詐称をすれば良いだけ。
39 名前：名無しさん＠お腹いっぱい。 [2008/07/29(火) 21:45:18 ]: >>38
頭良いな
40 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/29(火) 23:49:03 ]: >>36
実家のサーバのISPにお問い合わせしたら、1日で対応してくれた。
自宅アパートで使ってるISPはランダムだった。
会社の一番大手ISPは固定だったｗ
41 名前：名無しさん＠お腹いっぱい。 [2008/07/30(水) 08:03:31 ]: forward onlyにしておいて対策万全なforwardersとの間の通信をトンネル化しておけば問題なし
42 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/30(水) 09:33:06 ]: OPENDNS使えば安全？
43 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/30(水) 09:46:08 ]: >>41
トンネル使うって事は相手もトンネルに対応してなきゃならんわな
普通のプロバイダはそう言うサービス提供してないからなぁ
ちょっと普通のユーザーには縁のない話になるな
44 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/30(水) 12:55:29 ]: >>42
・プロバイダが攻撃されてDNSキャッシュが汚染される
・自分のPCが攻撃されてDNSキャッシュが汚染される

OpenDNSを使えば上の問題は解決するし、プロバイダが対策済みならOpenDNSを使うまでもない
でも下の問題は自分で何とかしなけりゃならない

OSのアップデート、DNSクライアントのアップデート、ルータのアップデートの三つが必要
前二つは探せば何とかなるが、ルータのメーカーが対策しないと無意味に近い
45 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/30(水) 13:14:56 ]: ＞・自分のPCが攻撃されてDNSキャッシュが汚染され
これって”インターネットプロトコル(TCP/IP)のプロパティ画面”で次のDNSサーバーのアドレスを使うに
見覚えのないDNSサーバーが追加されてるとかそういうケースか？
ttp://www.higaitaisaku.com/o17.html
46 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/30(水) 13:19:24 ]: >>45
違うー
47 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/30(水) 13:24:15 ]: で、なんで大騒ぎになってないのかな。
たいしたことではないってこと。
48 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/30(水) 13:25:16 ]: >>46
じゃあルータとかそういうの？
49 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/30(水) 13:29:50 ]: >>45
マルウェアに感染してそこいじられるってことはあるな
50 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/30(水) 14:07:36 ]: まあ実害はないかもしれないしな（攻撃を受けなかったり受けても問題なく過ごせたり）
けれど対策はしておかないとマズイだろう
51 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/30(水) 14:08:38 ]: >>48
PCがDNSに問い合わせた結果を一時保存しておくキャッシュがPC内のどこかにあるだろうがそれが汚染されるかもってこと
52 名前：774san mailto:sage [2008/07/30(水) 17:43:27 ]: 外部のOpenResolverが対策済みか調べる方法ってどうすればいいの？
telnet出来るならdigで調べれるけど…。
53 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/30(水) 18:03:12 ]: DNS Client サービスを止めてもちゃんと名前解決するんだね。
ルータをつかっているからかな？
54 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/30(水) 18:10:36 ]: >>53
キャッシュがないから毎回読みに行ってるだけでしょ
55 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/30(水) 18:23:43 ]: >>38
IPアドレスって詐称できるんだ
56 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/30(水) 18:29:23 ]: 詐称できるんだと思う人は詐称できません
57 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/30(水) 22:52:33 ]: >>51
DNSの解決速度を上げる為、殆どのOSではキャッシュはメモリ上だけになってる
だからシャットダウンや再起動でキャッシュはゼロになって最初から溜め直しになる

>>53
名前解決が必要になる度に外に聞きに行ってるから
手元の情報を使えない分速度も落ちるし、CPUのパワーも使うし、相手のDNSサーバに負担もかける
何よりDNSサーバが混雑し始めると、回線速度に関係なくブラウザの表示が遅くなったりする

攻撃者にしてみれば、外に聞きに出てくる度に毎回攻撃していれば、いつかは目当てのアクセスが通り過ぎるので攻撃が成功しやすくなる
キャッシュが有効な場合はデフォルトで一週間はキャッシュが残っているので、攻撃者には一週間に一度しか攻撃するチャンスがない
毎日シャットダウンするPCの場合は実質最初の一回しか攻撃するタイミングが無いことになる

プロバイダのDNSが汚染されている場合はキャッシュが有っても無くても同じと言う事を考えると
攻撃されるタイミングが増える上にパフォーマンスも落ちるのでキャッシュ無しはお勧めできない
逆にデフォルトよりキャッシュの生存時間を延ばしておけば、それだけ攻撃されるタイミングを減らす事も可能になる

>>52
プロバイダにメールで問い合わせるのが確実
まだ対策されてないなら「はよ対策せんかいドボケがっ！」と言う追い込みにもなる
58 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/30(水) 23:42:32 ]: 　　　　＿＿＿
　　　／　　　　＼
　　　／　　　　　　＼　　セキュ板らしい流れになってきたお
　／　　⌒　　　⌒　　＼
　 |　 /// （__人__） /// 　|　
. (⌒) 　　　　　　　　 (⌒)
./　i＼　　　　　　　／i　ヽ
59 名前：名無しさん＠お腹いっぱい。 [2008/07/31(木) 00:25:34 ]: でもそれだけ汚染状態が長く続くかも知れないけどな
60 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/31(木) 00:48:54 ]: 学校のテストの問題でファーミング詐欺の説明しろって問題で
DNSを書き換えてURL偽装する
てな感じで書いたんだが間違ってるかね？
名前解決が～とかいたほうがいいのか
61 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/31(木) 03:13:22 ]: >>60
詐欺が行われる事を説明する為に、以下のような文言が含まれている必要があるかも
順不同

・知名度の高いサイトを偽装する
知名度が低いサイトのURLを偽装しても詐欺という結果に繋がり難い
詐欺を結論させる為には知名度を利用した思考操作が必要

・一括的な方法で不特定多数を欺瞞情報に曝す
単一目標を攻撃する方法であるフィッシング詐欺と区別する部分は、不特定多数を対象にしている部分
ファーミング詐欺という名称を用いる際に必須の説明

・「DNS」ではなく「DNSサーバー」と書く方が正しい
DNSはDomainNameSystemの略
ファーミング詐欺ではシステムの書き換えは必須とされない

・DNSサーバーに一時集積されたドメインとIPアドレスの対応表を書き換える
DNSサーバーの情報を書き換えている行為に言及しつつ
情報という曖昧な表現ではなく、実際に何を書き換えているのかの説明が欲しい

・当事者が行う各種サーバーへのアクセスを不正に誘導する
当事者視点での現象の説明を行う
手法的にはダウンロードファイルのすり替え等も可能であるが、詐欺という説明の主流のみを説明する

・偽装されたサイトを利用して個人情報の奪取を目論む
ウイルス等に感染させる攻撃行為と詐欺行為とを分別する部分
ウイルス等を利用した複合的な手法もあり得るが、目的が攻撃であるか詐欺であるかで名称が変化する
62 名前：名無しさん＠お腹いっぱい。 [2008/07/31(木) 08:33:54 ]: そうだグーグルとかヤフーとか大手のところはTTLを無限大にしておけばイイヤ
それかゾーン転送してそれ使うとか
63 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/31(木) 12:08:11 ]: >>61
さんくす。
勉強不足だったお・・・
64 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/31(木) 12:47:39 ]: なんだか最近、物理的？には繋がってるんだけどDNSが変なのか
インターネットに繋がらないことが頻繁にあるんだけどこれってやばいのかな？

PeerGuardian2　のログにDNSの問い合わせがずらーっとでるよ

ちなみにISPはヤフーです
65 名前：名無しさん＠お腹いっぱい。 [2008/07/31(木) 12:53:37 ]: 悪用コード公開の影響：DNSの脆弱性問題でISPに被害 - ITmedia News
www.itmedia.co.jp/news/articles/0807/31/news021.html

>　DNSキャッシュポイズニングの脆弱性が見つかり悪用コードが出回っている
>問題で、実際にISPのサーバが攻撃され、トラフィックが偽サイトに誘導され
>る被害が発生した。
66 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/31(木) 13:14:33 ]: >>64 それはDNSのアドレス確認と、ルータのキャッシュがパンクしてるとか、脆弱性以外を疑ってみるがよろし。
67 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/31(木) 20:02:35 ]: >>64
おそらくOSがWindowsだと思うが、近頃行われたアップデートによりDNSクライアントの動作が変更になっている
今迄は問い合わせポートをあまり変更せず、その有効時間も短かったものを、ポートを頻繁に変更し、有効時間もかなり短くしている

これにより以下のようなトラブルが発生する事がある
当該ポートから送出されたUDPが先方に届き、先方からUDPパケが帰ってくるまでの間にポートの有効期間が過ぎてしまった場合、FW等では「無効なポートにアクセスしてくるUDP通信(とIP)」と判断され、パケットが破棄される
これはUDPパケットが基本的には送りっぱなしであり、セッションを維持しない通信の為、ポートは自身の有効期間が過ぎた場合にそのポートを利用するUDP通信を把握する事が出来ず、閉じてしまう事に起因する

原因としては、リモート側のサーバが混雑していてUDP送出が遅れたか、そもそもローカル側の処理が重く、ポート通過前の処理が遅延し、実際に通過するまでに相当の時間が経過している事が考えられる
68 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/31(木) 20:03:29 ]: × 今迄は問い合わせポートをあまり変更せず、その有効時間も短かったものを
○ 今迄は問い合わせポートをあまり変更せず、その有効時間も長かったものを
69 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/31(木) 21:06:47 ]: 今回のMicrosoftのアップデート以降、CPUが100%になることが多くなった
70 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/31(木) 23:02:36 ]: ああ、Voice over DNSの人かぁ

＼(＾o＾)／ DNSｵﾜﾀ
71 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/07/31(木) 23:17:50 ]: AVG Anti-Virus Version 74
pc11.2ch.net/test/read.cgi/sec/1216429458/700

700 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2008/07/31(木) 23:08:14
これはマジやばいっす！

www.itmedia.co.jp/news/articles/0807/31/news021.html

被害でたーーーｗｗ
72 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/01(金) 20:37:27 ]: ツールが出てるから、後はツールを使える程度の知識があれば実行できるからなぁ
説明書に悪用するなって書いてあるし、実際の攻撃方法のうちいくつかの自動的手順か省かれてるけど、他のツールを使えば自動化が出来てる

つーか、今調べたらツールの制限を無くしたバージョンがクラックサイトに上がってるし、こりゃ本格侵攻されても仕方のない事態だね
大手が全部対応したら次は中規模企業と個人攻撃だろうし、やっぱ対策しておかないとまずいわな
73 名前：名無しさん＠お腹いっぱい。 [2008/08/01(金) 20:53:37 ]: Appleは対応しないことにしたみたいねｗ
74 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/01(金) 21:31:42 ]: >>73
今日アップデート出てた気がするけど？
75 名前：名無しさん＠お腹いっぱい。 [2008/08/01(金) 23:41:57 ]: Pantherは対象外ってオイオイ
76 名前：A mailto:sage [2008/08/02(土) 01:28:41 ]: で、どうやったらプロバの鯖が穴空いてるか調べるれるの？
鶴使って地道にアタック？
77 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/02(土) 02:35:44 ]: 100も書き込みが無いんだから、このスレくらい読んだらどうだ。
78 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/02(土) 02:37:35 ]: >>76
コマンドライン使えない人なら
ttps://www.dns-oarc.net/oarc/services/dnsentropy
→ Test My DNS

コマンド使えるなら
ttps://www.dns-oarc.net/oarc/services/porttest
79 名前：名無しさん＠お腹いっぱい。 [2008/08/02(土) 08:27:31 ]: ランダムにしても、数分で汚染されるのが、数日～一週間ぐらいに伸びるだけなんだよな
年単位に伸ばせれば十分な効果だが、一週間ぐらいじゃ小手先だけで根本的解決になっとらん。
80 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/02(土) 12:33:29 ]: 上位互換でDNSパケットのエントロピーを128bitに増やすとか無理なんですかね。
81 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/02(土) 13:31:43 ]: エントロピーってなんじゃ？
82 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/02(土) 17:07:24 ]: 無限大になったら宇宙が滅びるやつ
83 名前：A mailto:sage [2008/08/02(土) 19:13:16 ]: >78
サンクス。DTIだけど大丈夫だった。
84 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/02(土) 20:12:48 ]: >>83
何度か時間や日を変えて確認したほうがいいよ
いくつかあるDNSサーバのうち大丈夫だなやつに当たっただけって事もあるし
85 名前：名無しさん＠お腹いっぱい。 [2008/08/02(土) 20:32:21 ]: つーかサーバだけ確認したところで
ルータとかが間抜けなら意味ないがな
86 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/02(土) 20:38:29 ]: ルータの対応待ちだな。
RTX1000 2台とRT57i 1台。RT57iは後回しにされそうだ。
87 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/02(土) 22:13:42 ]: 自分を確認したければBINDの場合はこんな感じ
ルータ越しならルータの対応も調べられる

dig +short porttest.dns-oarc.net TXT @127.0.0.1
dig +short porttest.dns-oarc.net TXT @192.168.XXX.XXX
@はプライベートの時だけ付けるので、プロバイダを調べる時には外す

これで調べられるのはforwardersに書かれた単一のDNSサーバーを利用した計測なので、利用するforwardersが増えるとセキュリティー度も向上する
88 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/03(日) 08:26:00 ]: 100個以上のco.jpドメインのスレーブになってる、とあるサーバ(*.ipr*) がこの週末でやっと対応した。
どこからでも再帰検索させる、version.bindモロ見え(ど古い)、当然porttestはPOOR、と、すんごく不安だったのだ。
最初の点はそのままだけど後ろ2つに対応。

別件。OCNで(ダイアルアップ用のは対応済みって聞いたけど)自分の地域ではPPPoEで配ってくる
DNSのアドレスではPOORだったので、OpenDNSにしてみた。
89 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/05(火) 21:47:43 ]: 自分はforwardersに20カ所のDNSサーバーを指定してるが、今回の件で未対応のサーバーを一時的にコメントアウトしてある
同時に信頼性と速度を計測して同時参照総数を30カ所に増やした

これだけ騒いでも未対応ってある意味すごいわ
90 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/06(水) 10:09:17 ]: DNS キャッシュポイズニングって
攻撃者のいるISPがソースアドレスを偽装した
IPパケットの送信を許可しているっていうこと？

そうでなけりゃ偽装した応答を
滑り込ませることはできないよね？
91 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/06(水) 15:27:25 ]: >>90
許可はしていないが偽装されているから通ってしまうと言う事
UDPはISPの能力や技術力とは関係無しに偽装されやすいパケなのでしゃーない

普通は良いルーターなら止まったりするんだが、市販のルーターより機能が遅れてるものが使われていると言うのが実情
何十万もする業務用ルーターがセキュ的にイマイチとなっても、山ほどあるから一度に交換できんし
そして本物と同じようにパケが出来ていたら、それはもう本物だから通すしかない
(中身に記録されている出所も外に記録されている出所も一致してたら、もうどこが発信地でも許可するしかない)
(ステートフルパケットインスペクションが有効でも、出て行ったパケの応答として作られたらアウト)

あと、攻撃者はISPの管理下に居る必要は無いよ
外にある管理外のDNSサーバーからのパケを偽装する訳だからそのDNSに近いと楽かもしれないけど
92 名前：名無しさん＠お腹いっぱい。 [2008/08/06(水) 20:44:17 ]: >>87
digはUNIX系じゃないとダメだから、一般人が調べるなら

nslookup -type=TXT porttest.dns-oarc.net 127.0.0.1
nslookup -type=TXT porttest.dns-oarc.net 192.168.xxx.xxx

デフォルトのDNS鯖を使うなら
nslookup -type=TXT porttest.dns-oarc.net

を推奨したほうがいいよ。ちなみにWinのnslookupは2秒でタイムアウトするから、何度か繰り返す必要あり。
そのうち返るようになる。
93 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/06(水) 21:13:42 ]: >>89
外部にフォワードしている時点で攻撃を受けることができるんですが
94 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/06(水) 22:27:08 ]: >>93
オプションプログラム入れて全30カ所の返答を照らし合わせて異例が無い物をキャッシュするようにしてある
だからフォワード先が多ければ多い程キャッシュポイズニングの危険性が減る
攻撃者がどんなに暇でも30カ所のDNSサーバーを同時に書き換えるのは無理だろうと言う作戦

一番最初の名前解決は激遅と言う難点があるし、異例を出しやすいDNSサーバーがフォワードに登録されていると動作が重くなるけど
95 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/07(木) 00:26:54 ]: >>92
ネットワーク設定のDNSを手動で変えて，
entropy.dns-oarc.net/test/
じゃダメなの？
96 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/07(木) 01:35:21 ]: >>95
時間がかかるけどそれでいいんでないかい？

コマンドプロンプト(nslookup)使う方は実際に使って無くてもチェックできるという利点があるのよ
だからちょっと気になった時にすぐ調べられる
97 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/07(木) 23:00:30 ]: DNS脆弱性問題、発見者が欠陥の詳細をついに公表――攻撃法も多数紹介
www.computerworld.jp/topics/vs/118209.html

プロバイダだけじゃなくて、Webサービス側のDNS鯖に欠陥があっても困るんだな
例えば、ターゲットのDNS鯖を攻撃し、大手ISPのMXレコードを自身の配下にあるIPアドレスだと覚えこませる

そして、パスワード忘れちゃったとID入力してWebサービス側にメールを送信させる
相手のSMTP鯖が勘違いして、自身の配下にメール送信。

送信先にSMTP鯖を起動しておいて、@の前がどんな文字列だろうと、受信するように設定しておけば、
メールからパスワード盗みたい放題ｗ
98 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/07(木) 23:26:24 ]: ttp://customer.sphere.ne.jp/cgi-bin/mantis/view.cgi#mente
遅杉
99 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/09(土) 09:21:39 ]: 管理外再帰の可能なDNSに限って言えば、国内の主要な所は更新されたようだね
大学も殆ど対応済み
CATVも殆ど対応済み

ただOCNの下にぶら下がる地方のプロバイダの更新が遅いね
お知らせコーナーを見ると更新が2007年代で止まってる所もあるし、こう言う所は危ないな
100 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/10(日) 18:18:15 ]: ｲﾝﾀｰﾈｯﾄ終了のお知らせ。
DNSの脆弱性の実証コードがリリースされる。
僅か数分で汚染可能
ttp://news4vip.livedoor.biz/archives/51190869.html
101 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/10(日) 22:18:55 ]: >>100
海外のBIND板だと対抗策も出てるけど、本家＋第三者加工プログラムみたいな感じで導入が難しいな
Windows環境だと今の所完全防御は絶望的
102 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/11(月) 07:49:48 ]: でもさ、ポイズニングって送信元IPアドレスの
詐称ができないとだめなんでしょ？
ISPは出て行くパケットについてのチェックをしてないのかな。
103 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/11(月) 14:58:41 ]: >>102
その出て行くパケってのはサーバと言う意味で書いてるの？契約ユーザーいう意味で書いてるの？

管理者の手元にあるサーバからは改変されたパケなんて出ないからチェックする意味が無い
ユーザーからは改変されたパケが飛ぶかもしれないが、それが何を意味するか分からないのに止めたら大問題だ

都合、チェックをする意味が無い
チェックをしたとしても赤の他人のサーバにそれを信じろと言うのは無理だろ？
だからサーバは入ってくるパケの整合性を調べる努力をするしかない
104 名前：名無しさん＠お腹いっぱい。 [2008/08/19(火) 01:44:53 ]: で
結局被害は無しなのな
105 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/19(火) 20:50:37 ]: >>104
へ？被害でてるじゃん？
ネット系のニュースで一週間以上も前に見たぞ

いくつか出てたうちの一つはアフィリエイト目的のページに数千人単位で誘導するという豪快なんだか小悪党なんだか分からないやつだったけど
あれがウイルスバラマキじゃなかったから大騒ぎになってないだけ
106 名前：名無しさん＠お腹いっぱい。 [2008/08/19(火) 21:43:40 ]: >>105
それって誘導されただけで
被害って程じゃないジャン
振り込め詐欺ぐらいのはないの？
107 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/20(水) 01:59:12 ]: 誘導に成功してるって事は、ルール無用の自前サーバで何でも出来るって事と同義だよ
あと、折角丁寧にネット上の足跡を消したのに、振り込め詐欺を行うと口座から何から全部残ってしまうから普通はしない
やるならカードの暗証蛮語を入力させる方式で、全世界の好きな所でお金をおろせる方を選ぶだろうね

因みにアフィリエイトに誘導しただけで、検索場を提供してる側には営業利益的に軽く数百万の被害が出ている
キャッシュをクリアした直後の効率低下も考えれば数字にならない阻害も大きい

勿論アフィリエイトを登録されていた側も詐欺的な手法で出来高払いを行わなければならないので、払っていたら被害金額として、払わなくても詐欺の被害を受けている事になる
エンドポイントである一ユーザーの被害は聞こえてこなくても、既に十分に被害が出てるよ
108 名前：名無しさん＠お腹いっぱい。 [2008/08/20(水) 07:47:20 ]: アフィリエイト提供側に被害って・・・・
誘導してくれてむしろありがとうだろうｗ
109 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/21(木) 19:10:57 ]: アフィリエイトは相手に悪い印象を与えたら商品のイメージが最悪になる
だから日本の普通のアフィリエイトは小さく邪魔せずページの内容に沿った物が表示される事が多い

検索から誘導されて飛んだページにアフィリだけ置いてあって、しかもページが怪しさ満点だったりするとアフィリまで怪しいと思われかねない
誰も飛ばないバナーなのに表示するだけで金が取られるってアフィリの会社からすると最悪だよ
110 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/21(木) 20:53:22 ]: >>109
おまえ、アフィリエイトの仕組み分かってないだろ？
商品の宣伝なんぞのためにアフィはそんざいしているのではないよ

正確には広告主の要望にしたがってサイトを運営してもらうために
金をばら撒いている、というのが本音
111 名前：名無しさん＠お腹いっぱい。 [2008/08/22(金) 09:13:28 ]: 「ネットの基幹インフラに重大欠陥　暗証番号盗み見も」
www.nikkei.co.jp/news/main/20080822AT2G2100D21082008.html
・・・基幹インフラである「ＤＮＳサーバー」に欠陥が見つかったとして
注意を呼びかけ始めた。・・・
112 名前：名無しさん＠お腹いっぱい。 [2008/08/22(金) 09:42:40 ]: >>111
＞被害事例はまだ報告されていないものの
113 名前：名無しさん＠お腹いっぱい。 [2008/08/22(金) 09:44:16 ]: cache poisoning自体はずいぶん昔から指摘されていた欠陥だしね今さらな感も
114 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/22(金) 15:30:53 ]: DNSの脆弱性問題でISPに被害
www.itmedia.co.jp/news/articles/0807/31/news021.html
115 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/22(金) 15:41:52 ]: >>111
と
>>114
の内容は違うんじゃないのか？

>>111 のは"ＤＮＳサーバーに偽の住所情報を大量に送りつけると"ってあたりが一連のDNS Spoofingと違う気がする
>>114 のは例の"ポートが固定されていたら～"から派生する内容だよね？

>>111 の具体的な方法はどんなものだろう？日経の記事は必要以上に丸められていてわからん
116 名前：名無しさん＠お腹いっぱい。 [2008/08/22(金) 17:20:47 ]: >>115
いやたぶん同じことを言おうとしているんだと思う
日本ネットワークインフォメーションセンターとやらが
この時期別の危険性を声高に叫ぶはずないでしょ
117 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/22(金) 22:13:20 ]: ttp://www.nic.ad.jp/ja/topics/2008/20080822-01.html

いまごろ知ったのか>日経
118 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/23(土) 02:23:09 ]: 日経・・・日本のオンライン経済活動に疎いんじゃないのか
何にしてもあの記事の書き方は知識がある人が見ても謎な文章だから、そうじゃない人には尚更だっただろう

もしかしてネットワーク系の会社の株を操作したんじゃあるまいな～
多分ちょっとは下がってるはずだし、場の雰囲気が悪化したと思うが
119 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/27(水) 06:49:07 ]: 今、NHKでこれのニュースが有った。
「専用のプログラムを使用すれば対策出来る」とのこと。
被害例として、金融システムにアクセスしようとしたら、詐欺サイトうんぬん。

煽ってる割には、だからどうすんねん！というニュースでした。
120 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/27(水) 08:50:32 ]: ＞「専用のプログラムを使用すれば対策出来る」

なんと便利な解説＞NHK
この言葉，いつでも使えそうだな（笑
121 名前：名無しさん＠お腹いっぱい。 [2008/08/29(金) 18:53:12 ]: これに絡んでエンタープライズウォッチで自社製品の売り込みしてる
おっさんの記事見て思ったんだけど、
自由度40億で破るのに10時間かかるなら、DNSのリクエストを2回送って
二つのレスポンスをクロスチェックするだけで、
自由度が1600京になって安全性を確保できるんじゃね？
122 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/29(金) 20:16:11 ]: そう言うのはBINDの有志が組んだものがあるけど、最初の名前解決に恐ろしい程時間がかかるよ
個人なら耐えられるけど、ISPでは耐えられないかも
あと、複数参照は攻撃された部位が上流の場合は同じ汚染情報を受け取ってしまうのも弱点

個人的にはDNSSECお勧め
123 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/30(土) 05:10:10 ]: 問い合わせ二回だから時間が2倍になるってこと？
それ以上というニュアンスで受け取ったけど、なぜだろう・・・？
124 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/31(日) 02:22:25 ]: まずフォワード先は最低3カ所は必要
なぜなら二つではどちらかが汚染されてたとしても同数だから多数決で判断できなくなるから
フォワード先は上流の分かれた奇数カ所が望ましいとされている
日本の場合は外部からの再帰的問い合わせに答えるDNSサーバが80カ所以上あるので、これは何とかなる

フォワード先を増やすと、基本的には全ての解決が終了してからでないと汚染確認が始まらない
フォワード先のDNSサーバが名前解決を失敗したり、回線の都合で立ち消えになったりすると、タイムオーバーまで名前解決が停止する
一度キャッシュされた後は通常と同じ速度で再帰的問い合わせに答えるが、キャッシュ生存時間が過ぎれば再び同じ手順を経る事になる
多数のフォワード先を利用する都合、最も遅いDNSサーバの影響を大きく受ける

自分の上流のDNSサーバ以外を利用する為、今まで5～10msで解決出来ていたものが20～40ms掛かるようになり、更に汚染確認の処理が入る為50msを越える事が多くなる
125 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/31(日) 20:33:57 ]: >>124
分からないので教えてほしいのですが、
外部のフォワーダ3台以上使って各応答を検証する特殊な仕組みを作るより、
普通のフルサービスリゾルバ持って自力でルートから素直に辿るほうが
自然そうなんですけれど、それじゃ駄目?
126 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/08/31(日) 23:39:07 ]: >>125
124じゃないが答えてみる

その方法だと一部のサーバにすげぇ無理が行くし、フルサービスリゾルバって結局は他力本願なキャッシュサーバーだよな
そこに問い合わせる方法が安全でも中身が腐ってたら意味なさそう

あと124も分かってて端折ってるのかも知れんが直接攻撃でキャッシュ書き換えられたらどーしよーもない
多数のフォーワードに聞きに行く方法は自分は攻撃されないだろうという楽観的な対策のひとつに過ぎんよ
127 名前：名無しさん＠お腹いっぱい。 [2008/09/01(月) 00:14:18 ]: やっぱり根元的な対策はDNSSECしかないのでは
128 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/01(月) 07:40:58 ]: 根本的な問題として，
IPにおける送信元アドレスの詐称は動揺もないのか？
129 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/01(月) 07:41:18 ]: 動揺→どうしよう
130 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/03(水) 00:07:25 ]: 技術的には可能だろうけど、主観時間的に不可能だし、予算的に不可能だし、フォーマット的に不可能だと思う
131 名前：名無しさん＠お腹いっぱい。 [2008/09/05(金) 09:55:17 ]: 何か全然被害ないねえ
ハッカーどうしたの？
132 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/06(土) 02:31:38 ]: OCNだけどようやくGREATになった
133 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/06(土) 10:39:51 ]: 詳細が明かされたDNSキャッシュ・ポイズニングの新手法
ぜい弱性の有無のチェックと対策は計画的かつ確実に

ttp://itpro.nikkeibp.co.jp/article/COLUMN/20080811/312660/
134 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/06(土) 11:12:57 ]: テストできないよね？
https://www.dns-oarc.net/oarc/services/dnsentropy
135 名前：名無しさん＠お腹いっぱい。 [2008/09/06(土) 11:45:10 ]: ん？　できたけど

ちなみにbiglobeだけどすべてGREATですた！
136 名前：124 mailto:sage [2008/09/06(土) 20:36:41 ]: >>126
ごめんなさい、やっぱり分かりません。私が意図してたのは、
・各応答を検証する仕組みは、自宅 or 自サイトで持つサーバで作るのだろう(推測)
・その仕組みから、ヨソ(外部組織)の野良キャッシュサーバを多数使う?
・それなら自宅内で BIND でも何でもいいからあげて、ルート→jp→co.jpと順次辿る、
　ルートサーバとオリジンサーバを信じる普通のやり方でいいのでは。
ということです。
検証のため(?)という理屈で知らない人からの再帰クエリーを送りつけられる、
ヨソのキャッシュサーバたちの方が「一部のサーバにすごい負荷」な状態に
あたるのではないかなと。

「直接攻撃でキャッシュ書き換えられたらどーしよーもない」には同感です。
外部組織からの再帰検索を受けつける甘いサーバより、自宅 BIND の方が信じられそう。
137 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/09/12(金) 12:17:12 ]: support.microsoft.com/kb/956190/
NATの下のプライベートなDNS(Win2003のDC)だけど関係あんの？
138 名前：名無しさん＠お腹いっぱい。 [2008/09/17(水) 14:32:50 ]: 「攻撃トラフィック」発信源、ワースト1位は日本 | WIRED VISION
wiredvision.jp/news/200809/2008091122.html

>攻撃トラフィックの発信源、すなわち「分散型サービス拒否」(DDoS)攻撃や、
>ハッキング行為、DNS(ドメイン・ネーム・システム)ハイジャックのトラフィ
>ックが特に多かったのは、日本[30.07％。前期の3.56％(7位)から急浮上した]、
>米国[21.52％]、中国[8.90％]、ドイツ [5.56％]だった。
139 名前：名無しさん＠お腹いっぱい。 [2009/02/25(水) 11:54:41 ]: DNS (Domain Name System) 総合
pc11.2ch.net/test/read.cgi/network/1159978850/l50
140 名前：名無しさん＠お腹いっぱい。 [2009/10/21(水) 14:06:16 ]: 誰か教えて下さい。

うちのサイトをグーグルのキャッシュで表示すると
全然別のドメインでクッキー許可のポーズ画面（プイバシーの警告）が表示されます。
（当サイトではそもそもクッキーは使用していません。）

詳細情報を見ると　searchportal.information・・・何とかかんとかの文字が・・・

「searchportal.information」をグーグルで検索すると

DNSポイズニングsearchportal.information.comがやってきた！ - SEO
www.search-seo.info/2008/11/dnssearchportalinformationcom.html

DNSポイズニングってヤバイのでしょうか?
新種のアタッキングでしょうか?　　対処方法はないでしょうか？
そもそも何故グーグルのキャッシュページにプライバシーの警告画面がでるんでしょうか？

誰か教えて下さい。

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef