[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:8391] Re: 教えてクンですいません。(DNSポイゾニング)

初めて回答してしまいます。よろしくお願いします。

Shingo Ishiyama-san wrote:
> 初めて投稿してしまいます。ごめんなさい。
> 
> 最近DNSポイズニングという言葉を知りました。
> 
> 「DNSのキャッシュを汚染する」という手段によって任意のサイトにユーザー
> を誘導するということですが、自分の管理するDNSに嘘を書いて、普通にイン
> ターネットにおいておくだけで普通にできてしまうような気がします。

「自分の管理するDNSに嘘を書いて、普通にインターネットにおいておくだけ」
の場合は誘導できる対象は、そのDNSを名前解決用に指定している自ドメインの
ユーザか、自分のドメイン内のサーバにアクセスして来た人ということに
なります。

自宅にある電話帳を自分で書き換えるようなものなので、あまりうれしくないか
と思います。

>  実際にそんなことをしたらどこの誰にどんな迷惑をかけてしまうかわからな
> いので当然テストはできません。

自ドメイン内であればユーザの理解が得られれば大丈夫かもしれません。(あま
りお勧めできませんが。)

> そこで伺いたいのですがDNSポイズニングに対する考え方はあっているでしょ
> うか?

「汚染する」という意味では他人が管理するDNSあるいは、自分は一ユーザで管
理権限のないDNSの内容を書き換えることになるかと思います。
多分以下のような感じかと思います。(間違ってたら訂正してください。)

1 DNSに名前解決の要求を投げます。
2 DNSは自分の管理下にないドメイン名の場合は当該ドメインを担当する
  DNSサーバに名前解決をリクエストします。
3 汚染したい人は正規のDNSサーバが回答を返す前に、自分が誘導したい
  IPアドレスを正規のDNSを騙って送信します。

DNSはゾーン転送を除きUDPを使用するので、送信元の詐称が可能です。
DNS側の対策としてシークエンスナンバーがランダムにふられますがある程度の
パケットを送れば(BIND4や8では700パケット程度)当たると言われています。
また擬似乱数の偏りによりこの確立を高める攻撃もあるようです。

> もし考えがあっているとすれば対策として、自分の管理するドメインが変なサ
> イトへ誘導されないようにするにはどうしたらいいでしょうか?

上記にあるように自サイトに対する外部からのアクセスにおけるDNSポイゾニン
グは当該ユーザが利用しているDNSサーバで行われてしまいます。

重要なサービスで特定用途にのみユーザが利用するような場合には、
必ず自分が管理するドメイン名を利用するようにしてもらい、
自DNSサーバがポイゾニングにあわないようにファイアウォールなどでトラ
フィックを制御するなどの方法が考えられます。

現実的かつ一般的な対策としてはSSLのサーバ証明書を常に利用してユーザに
証明書を確認してもらうぐらいしかないのではないでしょうか。

> また、自分の管理するDNSのキャッシュが汚染されないためにはどうしたらい
> いでしょうか?

外部からとの通信を行うDNSサーバと、内部からの問い合わせ用のDNSサーバを
分けておいて、これらに対する通信をファイアウォールで制限する
split-split DNSという方法があります。

> 識者の御意見や、またはこのサイトを見なさいという御示唆などをお待ちして
> おります。

英文ですが、security focusの以下の記事が参考になるかと思います。

http://www.securityfocus.com/guest/17905

武田圭史

--[PR]------------------------------------------------------------------
       ●●●寒い冬には体もヒザもあたためて!●●●
ヒザや腰などの関節の痛みは、関節と関節の間にある軟骨不足が原因。
そんな「からだのSOS」にはコンドロイチンとグルコサミンを補給して、
いたわってあげましょう!
 http://ad.freeml.com/cgi-bin/ad.cgi?id=detzL
------------------------------------------------------------------[PR]--
■GMO GROUP■ Global Media Online  www.gmo.jp