これまで多くの警告がなされているにも関わらずインターノットにはたくさんのオープンリゾルバが存在しています。その中にはポート番号がランダマイズされていない危険なサーバがいくつも見つかっています。こうしたサーバの管理者に個別に連絡してあげられる時間は残念ながら私にはありません。
古くからDNSの諸問題に取り組まれている qmail.jp の前野さんからも「たくさんの危険なサーバが見つかっているのだが、どうしたものだろう」という声が聞こえてきていました。
どうしたものかと考えて、思案した結果「毒入れ」を敢行することにしました。「毒入れ」と言っても大量の偽応答を送り込むような悪事を働こうという話ではなく、合法的な「毒入れ」です。
今回、私自身が管理するこの www.e-ontap.com のDNSコンテンツサーバに毒を盛りました。そしてその毒は、危険なDNSサーバが問い合わせを送ってきたときにのみ応答に使われます。危険なDNSサーバのリスト(現在約4000件)が私のサーバに登録してあり、選択的に応答に使われるようになっているわけです。djbdns(tinydns) の location という機能を用いています。リストの大部分は前野さんから提供を受けたものを再検査の上用いています。
さて、リストに掲載された危険な状態にあるDNSサーバを用いて http://www.e-ontap.com/(以下の任意のURI) にアクセスすると、以下のような画面に誘導されます。
前野さんの http://moin.qmail.jp においても現在、同様の設定がなされており、危険なサーバの利用者はこの警告のページへ誘導されるようになっています。
リストは今後増やしていく予定です。これで、気づいて対策がなされれば良いのですが、、、
追記: 自動判定システム(Port Randomize Tester)とそのバナー版も作成しました。説明はこちら。
Copyright by T.Suzuki
多くの警告はなかった。Kaminsky型攻撃が報告されても、対策しないDNSサイトが多数残っていることは確かだ。今回の試みが効果がなければ、警告の手段はもうないだろう。
実際に毒がどのくらい「入った」のかということに興味があります。今回の件についてはわからない人の方が多いでしょう。
毒が入れられた件数とは約4000件のAレコードのことでしょうか。質問が悪い?<br><br>わからない人の方が多い、とはなんのことか。せっかく十分スペースがあるのに、<br>意味不明のコメントではもったいない。
「多くの警告がなされた」というのは語弊がありそうですね。やるべき仕事を十分にやっていない組織が、、、
リアルタイムな自動チェックではなく、事前調査のリストに基づく警告なので、警告が出なかったからといって安心してはいけません。リストから漏れているところもたくさんあるでしょう。
alert.qmail.jp が本物の警告だと誤解する人が出ようとは。想定外。<br> リアルタイム検査ページだと誤解されたのか。<br><br>検査ページにアクセスしてくれる人が多ければそれも考えたのだが。
alert.qmail.jp で本物の警告がでるようにしました。ブラックリストになければ、見本が表示されます。本物を見本だと誤解するような人にはどういう警告をすればいいか、よく考えてください。「これは本物の警告です。訓練ではない!」とでも。:-<
ウォーゲームの初っぱなのところで出てくる台詞でよさそうなのがあったような>警告文
tokumaru.org 閲覧者が利用しているのか、危険なサーバのリストが膨張中です。
alert.qmail.jp ドメインの管理を変更して、警告もれのケースをなくしました。<br>source port 53, 32768 を使っているキャッシュサーバの利用者に警告が表示されます。