毒入れのログ

Isolated の例 (9.5.2-P2)

偽応答が受け入れられた時点の状態

キャッシュダンプ (被攻撃サーバvm2 [192.168.1.51])

; Cache dump of view '_default'
;
$DATE 20110831005806
; authanswer
.                       517178  IN NS   ns.root.tss.
; glue
example.nom.            85178   NS      ns.example.nom.
; glue
ns.example.nom.         85178   A       192.168.1.52
; authauthority
VZYxxeVmL8gmoG.example.nom. 85725 NS    www.example.nom.
; authanswer
                        85725   A       192.0.2.1
; additional
www.example.nom.        85725   A       192.0.2.1
; additional
ns.root.tss.            517178  A       192.168.1.50

キャッシュの確認 (被攻撃サーバvm2 [192.168.1.51])

まずキャッシュに影響を与えないよう、非再帰問い合わせでキャッシュの確認

vm2# dnsq a www.example.nom 192.168.1.51
1 www.example.nom:
50 bytes, 1+0+1+0 records, response, weird ra, noerror
query: 1 www.example.nom
authority: example.nom 85149 NS ns.example.nom

次に、普通に再帰問い合わせでキャッシュの確認

vm2# dnsqr a www.example.nom
1 www.example.nom:
66 bytes, 1+1+1+0 records, response, noerror
query: 1 www.example.nom
answer: www.example.nom 3600 A 192.168.1.53
authority: example.nom 86400 NS ns.example.nom

Refetch の例 (9.5.2-P2)

被攻撃サーバ [192.168.1.51] queryログ

攻撃サーバ[192.168.1.222]からランダムなホスト名の問い合わせを行い、ZOV4tW1DtbrQcZF85N.example.nom が被攻撃サーバに受け入れられた時点のログ

31-Aug-2011 10:05:21.803 queries: info: client 192.168.1.222#39510: query: QZeHa8L0YfXC.example.nom IN A +
31-Aug-2011 10:05:22.549 queries: info: client 192.168.1.222#42594: query: ZOV4tW1DtbrQcZF85N.example.nom IN A +
31-Aug-2011 10:05:23.447 queries: info: client 192.168.1.222#22973: query: tb8YL2iw9i3.example.nom IN A +

ルートサーバ [192.168.1.50] ログ

偽応答が入った直後に、被攻撃サーバ[192.168.1.51]から www.example.nom についてルートに問い合わせが発生している。ただしこの直前まで被攻撃サーバは example.nom のNS+Aのキャッシュを持っているはずであり、あえてルート(上位?)に確認を行っているようにみえる。

2011-08-31 10:05:23.447839500 192.168.1.51:53:17712 + a www.example.nom
2011-08-31 10:05:23.448011500 192.168.1.51:53:63074 + aaaa www.example.nom

example.nom権威サーバ [192.168.1.52] ログ

被攻撃サーバは、ルートへの問い合わせに引き続き権威サーバへ www.example.nom の問い合わせを送っている。

2011-08-31 10:05:23.648357500 192.168.1.51:53:39144 + a www.example.nom
2011-08-31 10:05:23.648506500 192.168.1.51:53:12894 + aaaa www.example.nom

攻撃ツールログ

攻撃ツールは 50 query 毎に偽応答がキャッシュに入ったかを非再帰問い合わせで確認し、Aレコードに値が入って入れば成功を出力する。

[*] Poisoning successful after 300 queries and 60000 responses: www.example.nom == 192.168.1.53 (Wed Aug 31 10:05:33 +0900 2011 : 0 days + 0 hours + 3 minutes + 57.515652 seconds)

キャッシュダンプ(被攻撃サーバvm2 [192.168.1.51])

; Cache dump of view '_default'
;
$DATE 20110831010834
; authanswer
.                       517982  IN NS   ns.root.tss.
; authauthority
example.nom.            86209   NS      ns.example.nom.
; glue
ns.example.nom.         85982   A       192.168.1.52
; authanswer
www.example.nom.        3409    A       192.168.1.53
; authanswer
ZOV4tW1DtbrQcZF85N.example.nom. 86208 A 192.0.2.1
; authauthority
ns.root.tss.            2143    \-AAAA  ;-$NXRRSET
; additional
                        517982  A       192.168.1.50

キャッシュの確認 (被攻撃サーバvm2 [192.168.1.51])

まずキャッシュに影響を与えないよう、非再帰問い合わせでキャッシュの確認

vm2# dnsq a www.example.nom 192.168.1.51
1 www.example.nom:
66 bytes, 1+1+1+0 records, response, weird ra, noerror
query: 1 www.example.nom
answer: www.example.nom 3354 A 192.168.1.53
authority: example.nom 86154 NS ns.example.nom

次に、念押しで普通に再帰問い合わせを行いキャッシュの確認

vm2# dnsqr a www.example.nom
1 www.example.nom:
66 bytes, 1+1+1+0 records, response, noerror
query: 1 www.example.nom
answer: www.example.nom 3349 A 192.168.1.53
authority: example.nom 86149 NS ns.example.nom