トップ «前の日記(2012-06-14) 最新 次の日記(2012-06-24)» 編集

インターノット崩壊論者の独り言

過去の日記
EPIC2014
Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。

2012-06-18 今何時? そーねだいたいねー

- NTPサーバを乗っ取ってしまいました

ある老舗の地域ネットワーク運営団体のドメイン名(某.or.jp)が VISA.CO.JP 同様にハイジャック可能な状態になっていることに気づき、6月16日(土)13:43 にある放棄されたドメイン名(某.net)を取得(登録というのが正しい)しました。関係者(某有名人)にはすぐに連絡しましたので、近いうちに対処されるものと思います。

それはいいとして(よくないですが)、DNSを立ち上げてログを見てみると、すごい勢いで query が飛んできます。その名前がなんと ntp.***********.net となっています。サーチエンジンで調べてみると、昔、割と広く使われいた NTP サーバのようです。ちょっと躊躇しましたが、日曜になって、ファイアウォールで 123番ポートを遮断した上で、ntp.***********.net の A レコードを登録してみましたところ、今日までに1800以上の IP アドレスから接続がありました。接続元の IP アドレスのリストをこちらに置いておきますので、自分が関係するところがないか確認するとよいでしょう。多くはパソコンだと思われますが、一部サーバらしきものもありますね。

さて、NTPサーバを乗っとると何ができるでしょう。単に相手の時間を狂わせることができるだけなのですが、二次的には大変な被害が発生しそうです。あまり検証したことないのですが、時間をずらされたサーバではいろいろな障害が発生することが予想されます。Windows の ADサーバがクラッシュするという話も耳にしました。いろいろ落ちるサービスはあるでしょうね。データベースの類もやっかいなことになるでしょう。それとやっぱり DNSSEC ですね。DNSSEC は時間が正しく運用されていることが前提となっています。これが狂うと検証に失敗し、署名されたドメイン名は存在しないことになってしまうそうです。(私は検証していませんけど)

そして、DNSSEC は今回のような NTPサーバのドメインが乗っ取られる事象に対しては無力です。乗っ取ったなんて言っていますが、単に所有者が変わっただけの話ですから。無力な上に脆弱、困ったものです。皆さんがお使いの NTP サーバは信用できますか?

追記:
思うに、中古ドメイン名の取引は禁止されてしかるべきだと思う。危険過ぎるし、いらなくなったドメイン名を保持し続けて原野商法業界に大金を巻き上げられるのは辛くないですか? 皆さん。

追記2:
接続元の IP アドレスが2,300を越えたのでリストを更新しました。また .JP を抜き出したリストを作って見ました。

p.s.
タイトルは void さんに頂きました w

本日のツッコミ(全14件) [ツッコミを入れる]
_ だれでもいい (2012-06-18 14:26)

時間が正しく運用されている? ツッコミ<br> 時間管理局からの警告がくるぞ。

_ tss (2012-06-18 14:29)

うひ ^^;

_ tss (2012-06-18 14:30)

時間は運用するものです。きぱっ!

_ だきわ (2012-06-18 17:10)

確かにADはサーバとクライアントの時間が大幅にずれるとクライアントが立ち上がりませんねえ。少々の時間差であればログオン時にサーバの時間に調整されてしまうのですが。

_ tss (2012-06-18 17:19)

普通は大幅にずれると無視する設定になっていると思いますけどね。

_ strnh (2012-06-18 17:20)

>ADはサーバと<br><br>kerberos由来のチケットを見るサービスはみんな時刻が重要です。基本5分ずれたら繋がりません。

_ strnh (2012-06-18 17:27)

あと、時間認証なんてシステムもありますが、基盤技術に脆弱なNTPのシステムを使っていたらとても問題があります。<br><br>ちなみにあるタイムレコーダのシステムを売ってる連中は、間接的なNTP接続を考えていないため、閉じたネットワークの中では、スプリットホライズンでスプーフしたDNS応答を用意して、閉じたネットワーク内で動くNTPサーバに繋げてやらなければなりません。たぶん細かくパソコンに乗せてある出退勤システムの設定を弄ればいいんでしょうが、雇われシステム管理者として、畑違いの人事と会計システムに気軽に踏み込める雰囲気があるようなところは少ない。

_ tm (2012-06-19 09:32)

関連した話題:「原野商法」だと、買わなければすむように見えるが、ドメイン売買の実態は異なる。<br><br>世界にはブランドというものが多数あって、gTLDが多数できると、<br>極端にいえば、それらすべてに登録しておかないと防御できないとか。<br><br>gTLDなんて「原野の押し売り」らしい。ICANNはそれを狙ったらしい。

_ moto (2012-06-19 17:24)

接続元IPアドレスリストは、アマチュアハッカーの練習台ですね。<br><br>#SHODAN もあるし、今さら、なんですが。

_ tss (2012-06-19 22:45)

#SHODAN って何ですか? こんなリストごろごろしてますが。

_ tss (2012-06-19 22:46)

とんでもなく危ないリストは公開しません。

_ moto (2012-06-20 09:06)

はい、ごろごろしていますね。<br>(そんなサーバの管理者への皮肉のつもりでした。)<br>SHODAN を使うとそんなリストが容易に得られます。<br>www.shodanhq.com<br>うまく使うと危険なDNSサーバも洗い出せるかも知れません。

_ tss (2013-03-12 20:49)

このドメイン名を放棄しようとしてみたところ、<br>「このドメインネームは 3 件の NameServer に使用されていて放棄できません。」<br>レジストラの PSI-JAPAN 素晴らしいかも。

_ strh (2013-11-20 21:31)

すっごいむかし、PSIに雇ってもらおうと思ったんですが、はねられました。雇っておいてくれればちゃんと直すくらいなことはやったのにw

[]

最近の日記

リンク

Copyright by T.Suzuki