偽応答が受け入れられた時点の状態
; Cache dump of view '_default' ; $DATE 20110831005806 ; authanswer . 517178 IN NS ns.root.tss. ; glue example.nom. 85178 NS ns.example.nom. ; glue ns.example.nom. 85178 A 192.168.1.52 ; authauthority VZYxxeVmL8gmoG.example.nom. 85725 NS www.example.nom. ; authanswer 85725 A 192.0.2.1 ; additional www.example.nom. 85725 A 192.0.2.1 ; additional ns.root.tss. 517178 A 192.168.1.50キャッシュの確認 (被攻撃サーバvm2 [192.168.1.51])
まずキャッシュに影響を与えないよう、非再帰問い合わせでキャッシュの確認
vm2# dnsq a www.example.nom 192.168.1.51 1 www.example.nom: 50 bytes, 1+0+1+0 records, response, weird ra, noerror query: 1 www.example.nom authority: example.nom 85149 NS ns.example.nom
次に、普通に再帰問い合わせでキャッシュの確認
vm2# dnsqr a www.example.nom 1 www.example.nom: 66 bytes, 1+1+1+0 records, response, noerror query: 1 www.example.nom answer: www.example.nom 3600 A 192.168.1.53 authority: example.nom 86400 NS ns.example.nom
攻撃サーバ[192.168.1.222]からランダムなホスト名の問い合わせを行い、ZOV4tW1DtbrQcZF85N.example.nom が被攻撃サーバに受け入れられた時点のログ
31-Aug-2011 10:05:21.803 queries: info: client 192.168.1.222#39510: query: QZeHa8L0YfXC.example.nom IN A + 31-Aug-2011 10:05:22.549 queries: info: client 192.168.1.222#42594: query: ZOV4tW1DtbrQcZF85N.example.nom IN A + 31-Aug-2011 10:05:23.447 queries: info: client 192.168.1.222#22973: query: tb8YL2iw9i3.example.nom IN A +
偽応答が入った直後に、被攻撃サーバ[192.168.1.51]から www.example.nom についてルートに問い合わせが発生している。ただしこの直前まで被攻撃サーバは example.nom のNS+Aのキャッシュを持っているはずであり、あえてルート(上位?)に確認を行っているようにみえる。
2011-08-31 10:05:23.447839500 192.168.1.51:53:17712 + a www.example.nom 2011-08-31 10:05:23.448011500 192.168.1.51:53:63074 + aaaa www.example.nom
被攻撃サーバは、ルートへの問い合わせに引き続き権威サーバへ www.example.nom の問い合わせを送っている。
2011-08-31 10:05:23.648357500 192.168.1.51:53:39144 + a www.example.nom 2011-08-31 10:05:23.648506500 192.168.1.51:53:12894 + aaaa www.example.nom
攻撃ツールは 50 query 毎に偽応答がキャッシュに入ったかを非再帰問い合わせで確認し、Aレコードに値が入って入れば成功を出力する。
[*] Poisoning successful after 300 queries and 60000 responses: www.example.nom == 192.168.1.53 (Wed Aug 31 10:05:33 +0900 2011 : 0 days + 0 hours + 3 minutes + 57.515652 seconds)
; Cache dump of view '_default' ; $DATE 20110831010834 ; authanswer . 517982 IN NS ns.root.tss. ; authauthority example.nom. 86209 NS ns.example.nom. ; glue ns.example.nom. 85982 A 192.168.1.52 ; authanswer www.example.nom. 3409 A 192.168.1.53 ; authanswer ZOV4tW1DtbrQcZF85N.example.nom. 86208 A 192.0.2.1 ; authauthority ns.root.tss. 2143 \-AAAA ;-$NXRRSET ; additional 517982 A 192.168.1.50
まずキャッシュに影響を与えないよう、非再帰問い合わせでキャッシュの確認
vm2# dnsq a www.example.nom 192.168.1.51 1 www.example.nom: 66 bytes, 1+1+1+0 records, response, weird ra, noerror query: 1 www.example.nom answer: www.example.nom 3354 A 192.168.1.53 authority: example.nom 86154 NS ns.example.nom
次に、念押しで普通に再帰問い合わせを行いキャッシュの確認
vm2# dnsqr a www.example.nom 1 www.example.nom: 66 bytes, 1+1+1+0 records, response, noerror query: 1 www.example.nom answer: www.example.nom 3349 A 192.168.1.53 authority: example.nom 86149 NS ns.example.nom