トップ «前の日記(2014-07-20) 最新 次の日記(2014-08-28)» 編集

インターノット崩壊論者の独り言

過去の日記
EPIC2014
Google Public DNS (8.8.8.8, 8.8.4.4) および Cloudflare (1.1.1.1, 1.0.0.1) 経由では本サイトにアクセスできないよう措置させて頂いております。

2014-08-27 JPRS は沈黙したままですが、、、

- 毒入れに対して脆弱性のある名前の検査ツールを公開

今、話題の、、、いや、もはや前野さんと私だけが問題にしている感のある DNS の毒入れについて、「脆弱性のある名前」(JPRSは未解説)の簡易検査ツールを作成し公開しました。

Pandora-poisoning Vulnerability Checker: http://snoopy.e-ontap.com/pandora/

再帰検索の過程でNSキャッシュが入らなさそうな名前を抽出しています。 NSキャッシュが入らないということは委任インジェクションが容易である ということを意味します。
(www.example.jp というような FQDN なホスト名もほとんどのケースで脆弱と判定します)

判定ページの簡単な説明

  • Vulnerable Names:
    検査対象のドメイン名に含まれる脆弱な名前
  • Vulnerabe Names of the Nameservers:
    検査対象の NS名を再帰検索する際に現れる脆弱な名前
    *すべての外部名を丁寧に追って調べると酷いことになるドメイン名があるので手抜きあり (あくまで参考程度)
  • NS Caches on the Assumption:
    再帰検索の途中で入るであろうNSキャッシュの候補

サンプルとして co.uk, co.jp, foo.bar.internot.jp などを入れてみると問題を理解できるかもしれません。大学によくあるパターンですが、www.gakubu.sample.ac.jp などサブドメイン名の委任元サーバが委任先のコンテンツミラー (セカンダリ) サーバを引き受けているケースが問題となりますので、サブドメイン名を検査してみることをおすすめします。
なお、脆弱判定されたから必ず毒が入りやすいとは限りません。それぞれのキャッシュサーバにおいてその名前がアクセスされる状況にもよります。リスクの判断には問題を良く理解する必要があります。

それにしても JPRS や JPCERT/CC、IPA などはいつになったら注意喚起と解説を出してくださるのでしょうね。

本日のツッコミ(全8件) [ツッコミを入れる]
_ tm (2014-08-27 21:36)

なぜJPRSに注意喚起を期待するのでしょう。この半年の対応を見ていれば、期待するのはむなしいと思うのですが。

_ tss (2014-08-28 14:41)

誰も何も期待していなさそうだし、まあ私くらいは期待しておいてあげないと。

_ tm (2014-08-28 19:02)

沈黙しているのも、JPRSだけではない。この件はJPCERTが警告するべき話でしょう。。<br>JPRSはもともと自分たちの利益のために、「重複」発信しているのだろうし。

_ tm (2014-08-29 17:41)

キャッシュが上書きされるケースについての警告はやらないのでしょうか。<br>(多すぎて、わけがわからなくなるという事情はあるでしょうけど)

_ tm (2014-09-05 13:45)

キャッシュ毒盛にかぎらず、DNS関連の脆弱性を話題にするのはJPRSの広報担当くらいですね。あとはJPNICか。<br><br>みなさん、DNSを議論するのは避けているようですが、<br>重大な問題が発覚してからでは、遅いでしょう。<br><br>普段のコミュニケーションが重要とか大切という話もでてましたね。

_ tss (2014-09-05 16:06)

議論しづらい業界の雰囲気があるのでしょう。お互い痛いところがあるみたいな、、、

_ tm (2014-09-05 19:01)

自分のところの問題点を隠すというのでは、まともな議論はできませんね。<br><br>業界全体で、客に対して不誠実だということになりましょう。

_ tm (2014-09-24 11:04)

9月も終わろうというのに、以前よりも情報がでてこなくなりましたね。<br>4月に想像したうちでも最悪のシナリオが現実になったようです。<br><br>今後、JPRSとしてはキャッシュ毒盛には危険はないという態度を続けるのでしょう。<br>DNSSECを使わないとDNSを信用するのは危険という警告もしないようだから。

[]

最近の日記

リンク

Copyright by T.Suzuki