DNS 毒入れの真実

Oct 24, 2015 @DNS温泉補講
(注:本スライドはDNS温泉(1,2,3)参加者のレベルを前提としています)

鈴木常彦 @ E-ONTAP.COM

DNS毒入れの真実　目次

BlackHat 2008 で世間を騒がせた Kaminsky の誤り
B.Müller の論文
BlackHat 2009 での Kaminsky の再発表
委任の弱点 (委任インジェクション)
- NS を持たないノードの偽委任
- 世代間同居ゾーンにおける偽委任
RFC2181の弱点 (移転インジェクション)
- 委任側 NS キャッシュの上書き
- 権威側 NS キャッシュの上書き
- グルーキャッシュの上書き
ルートゾーンへの毒入れ
DNSSEC の弱点
対策

BlackHat 2008 で世間を騒がせた Kaminsky の誤り

Kaminsky の示した例

問合せ
   $random.foo.com
応答
   Answer: なし
   Authority section: $RANDOMwww.foo.com IN NS www.foo.com
   Additional section: www.foo.com IN A 6.6.6.6

TYPO (意図的?) は置いておいても、、、
RFC2181 5.4.1 Ranking data に従えばこの毒は有効にならない
Unauthenticated RRs received and cached from the least trustworthy of those groupings, that is data from the additional data section, and data from the authority section of a non-authoritative answer, should not be cached in such a way that they would ever be returned as answers to a received query. They may be returned as additional information where appropriate. Ignoring this would allow the trustworthiness of relatively untrustworthy data to be increased without cause or excuse.
実験の結果 BIND のバグだと判明: Truth of Kaminsky Bug

B.Müller 論文

IMPROVED DNS SPOOFING USING NODE RE-DELEGATION, 2008.7.14, Bernhard Müller

B.Müller が示した例

問合せ
   $RANDOM.www.example.com IN A
応答
   Authority Section: www.example.com IN NS ns1.attacker.com

偽www.example.com ゾーンへの偽委任が可能なことを示した
(本物の www.example.com には NS は存在していない)
本物のwww.example.com の TTL 切れを待つ必要はないことも書かれている
FQDN への毒入れの例しか示されていないがさらに危険な弱点の演繹には十分

BlackHat 2009 での Kaminsky の再発表

DNS 2008 and the new (old) nature of critical infrastructure
言い訳: It doesn't work (p.13, p.14) ...BINDのバグだったとはわかっていない模様
重要な言及: Nonexistent subdomains can’t already be cached, so they’re easy to inject (p.17)
2008年の攻撃例の修正: Getting Our Universal Attack Working Against BIND again (p.19)...それでも説明不十分

委任の弱点 (委任インジェクション)

NS を持たないノードの偽委任
世代間同居のゾーンにおける偽委任

NS を持たないノード(サブドメイン名)、あるいはゾーンの世代間同居などにより直接検索される機会の少ないゾーンが、偽の委任情報を毒入れされる脆弱性を持つ。

NS を持たないノードの偽委任による毒入れ(FQDN)

B.Müller の例に同じで FQDN をゾーンとして偽の委任を行う

攻撃パターン

問合せ
   $RANDOM.www.example.jp. IN A
本物の応答
   否定応答 (SOA)
偽応答
   Authority Section: www.example.jp. IN NS ns.poison.nom.

本物の応答は $RANDOM.www.example.jp. に対する否定応答であり、そのネガティブキャッシュは次の攻撃の妨げにならない
偽権威サーバへ誘導後、www.example.jp の Aレコードに毒入れ

NS を持たないノードの偽委任による毒入れ (ac.jp など)

AC.JP, CO.KR, GOUV.FR などのゾーン切断点でないノード (ac.jp など) をゾーンとして偽の委任を行う

攻撃パターン

問合せ
   $RANDOM.ac.jp. IN A
本物の応答
   否定応答 (SOA)
偽応答
   Authority Section: ac.jp. IN NS ns.poison.nom.

本物の応答は $RANDOM.ac.jp. に対する否定応答であり、そのネガティブキャッシュは次の攻撃の妨げにならない
偽権威サーバへ誘導後、任意のRR (*.ac.jp) に毒入れ可能
模擬実験
デモ

世代間同居 (親子ゾーンの同居)

KR と DNS.KR などの親子ゾーン同居では子ゾーンへの委任情報がキャッシュされる機会がない

kr 86400 NS b.dns.kr.
kr 86400 NS c.dns.kr.
kr 86400 NS d.dns.kr.
kr 86400 NS e.dns.kr.
kr 86400 NS f.dns.kr.
kr 86400 NS g.dns.kr.

dns.kr 86400 NS b.dns.kr.
dns.kr 86400 NS c.dns.kr.
dns.kr 86400 NS d.dns.kr.
dns.kr 86400 NS e.dns.kr.
dns.kr 86400 NS f.dns.kr.
dns.kr 86400 NS g.dns.kr.

世代間同居 (親子ゾーンの同居)

攻撃パターン

問合せ
   $RANDOM.dns.kr. IN A
本物の応答
   否定応答 (SOA)
偽応答
   Authority Section: dns.kr. IN NS ns.poison.nom.

親子が分離されていれば dns.kr への referral (委任)応答が返るが、親が子ゾーンの情報を持っているために存在しない $RANDOM に対して否定応答を返してしまう (サーバは親子どちらに問合せられたか判断できない)
この例のように親が子の名を NS に使っていると子を乗っ取ることにより、親も乗っ取ることができる ([b-g].dns.kr に毒入れすればよい)

世代間同居 (親子ゾーンの同居)

JP は 2014.6.9～24 に DNS.JP の分離を行った

jp. 86400 SOA z.dns.jp. root.dns.jp. 1445177703 3600 900 1814400 900
jp. 86400 NS a.dns.jp.
jp. 86400 NS b.dns.jp.
jp. 86400 NS c.dns.jp.
jp. 86400 NS d.dns.jp.
jp. 86400 NS e.dns.jp.
jp. 86400 NS f.dns.jp.
jp. 86400 NS g.dns.jp.

dns.jp. 86400 SOA z.dns.jp. root.dns.jp. 2015011801 3600 900 1814400 86400
dns.jp. 86400 IN NS nsa.dns.jp.
dns.jp. 86400 IN NS nsb.dns.jp.
dns.jp. 86400 IN NS nsd.dns.jp.
dns.jp. 86400 IN NS nse.dns.jp.
dns.jp. 86400 IN NS nsf.dns.jp.
dns.jp. 86400 IN NS nsg.dns.jp.

(2015011801?)

RFC2181の弱点

RFC1034,1035 には説明はないが、RFC2181 には権威ある応答に付随する NS が委任側で得られた NS に優先し、キャッシュを上書きするルールが定められている

Paul Vixie によれば委任元と委任先では NS RRset がしばしば異なっているので、委任先の NS RRset をより正しいものとすることにしたとのこと

RFC2181 5.4 Receiving RRSets

The challenge for the server is to determine which of the data sets is correct, if one is, and retain that, while ignoring the other. Note that if a server receives an answer containing an RRSet that is identical to that in its cache, with the possible exception of the TTL value, it may, optionally, update the TTL in its cache with the TTL of the received answer. It should do this if the received answer would be considered more authoritative (as discussed in the next section) than the previously cached answer.

RFC2181の弱点

RFC2181 5.4.1. Ranking data

Trustworthiness shall be, in order from most to least:

     + Data from a primary zone file, other than glue data,
     + Data from a zone transfer, other than glue,
     + The authoritative data included in the answer section of an
       authoritative reply.
     + Data from the authority section of an authoritative answer,
     + Glue from a primary zone, or glue from a zone transfer,
     + Data from the answer section of a non-authoritative answer, and
       non-authoritative data from the answer section of authoritative
       answers,
     + Additional information from an authoritative answer,
       Data from the authority section of a non-authoritative answer,
       Additional information from non-authoritative answers.

権威サーバからの NS は委任元からの NS に優先する

RFC2181の弱点 (移転インジェクション)

以上より RFC2181 に準拠した実装では以下のような攻撃が可能となる。

委任側 NS キャッシュの上書き
　委任元から得た NS キャッシュを偽の権威サーバからの NS で上書きする (RFC2181 / 一部無視する実装あり)
権威側 NS キャッシュの上書き
　本物の権威サーバから得た NS を偽の権威サーバからの NS で上書きする (RFC2181は禁止していない/実装依存)
グルーキャッシュの上書き
　委任のグルーキャッシュを、偽の兄弟ゾーンの Additional 情報 (sibling glue) で上書きする (バグと言っていいだろうが実装あり)

移転インジェクション - 委任側 NS キャッシュの上書き

前提1: root から jp への委任の NS (jp. IN NS [a-g].dns.jp.) (Data from the authority section of a non-authoritative answer) はキャッシュにある
前提2: 前提1より *.jp の問合せは jp の権威サーバに送られる

攻撃パターン

問合せ
   $RANDOM.jp. IN A
本物の応答
   NXDOMAIN (SOA)
偽応答
   AA flag: 1
   Answer Section: $RANDOM.jp. IN A  192.0.2.1
   Authority Section: jp.      IN NS ns.poison.nom.

委任の NS キャッシュ (Data from the authority section of a non-authoritative answer) が「自称」権威のある偽応答の NS (Data from the authority section of an authoritative answer) で上書きされる
RFC2181に従った動作によるもの。実に簡単!
デモ

移転インジェクション - 権威側 NS キャッシュの上書き

前提1: 事前に jp の SOA を検索し、jp サーバからの権威ある応答に含まれる NS (Data from the authority section of an authoritative answer) をキャッシュしている場合を考える
前提2: 前提1より *.jp の問合せは jp の権威サーバに送られる

攻撃パターン

問合せ
   $RANDOM.jp. IN A
本物の応答
   NXDOMAIN (SOA)
偽応答
   AA flag: 1
   Answer Section: $RANDOM.jp. IN A  192.0.2.1
   Authority Section: jp.      IN NS ns.poison.nom.

権威ある NS キャッシュ (Data from the authority section of an authoritative answer) が「自称」権威のある偽応答の NS (Data from the authority section of an authoritative answer) で上書きされる
RFC2181はこれを禁止していない。BIND, Unbound, djdbns などで成功する。
デモ

ルートゾーンへの毒入れ (移転インジェクションの応用)

JP と同様に攻略してみる

問合せ
   $RANDOM. IN A
本物の応答
   NXDOMAIN (SOA)
偽応答
   AA flag: 1
   Answer Section:   $RANDOM.  IN A  192.0.2.1
   Authority Section: .        IN NS ns.poison.nom.

これは失敗する
なぜか、、、

PRIMING

BIND, Unbound は起動時あるいは最初の問い合わせ時に . の NS を問い合わせてキャッシュに入れる! (primingと呼ばれる)
さらに最近の BIND は頻繁に . の NS を問い合わせる (毒入れ防止策?)
これらにより . の権威ある NS (The authoritative data included in the answer section of an authoritative reply) が常にキャッシュにあるため、これを上書きするのは困難

再度ルートゾーンへの毒入れ

root-servers.net ゾーンを奪えばルートゾーンも奪える
root-servers.net と . は親孫同居
net の NS がキャッシュになければ委任インジェクションが可能 (JPRS 藤原氏の説明)
だが通常のキャッシュサーバには .net があり委任インジェクションでの毒入れは現実的ではない
(藤原氏のスライドで ~~Only when “net NS” is not cached by victim full resolvers~~ に取り消し線が入っているのはなぜ?)
別な方法が必要

再度ルートゾーンへの毒入れ (移転インジェクションの応用)

前提: root-servers.net への委任の NS は攻撃中にキャッシュされる

前提: root-servers.net からの権威ある応答に付随する NS がキャッシュにあってもよい

攻撃パターン

問い合わせ
   $random.root-servers.net.  IN  A
本物の応答
   NXDOMAIN (SOA)
偽応答
   AA flag: 1
   Answer Section: $random.root-servers.net. IN A 192.0.2.1
   Authority Section:  root-servers.net.    IN NS ns.poison.nom.

以下のように毒が入る (キャッシュダンプ)

; Auth Authority
    .                        1111  NS  [a-m].root-servers.net.
; Auth Authority
    root-servers.net.       86383  NS  ns.poison.nom. (偽権威)
    root-servers.net.        2222  NS [a-m].root-servers.net. (↑上書きされる)
; glue
    [a-m].root-servers.net.  2222  A  192.0.2.1

この状態で [a-m].root-servers.net の A を問い合わせると偽権威からの応答が glue キャッシュを authanswer で上書きする。ルート乗っ取り完了。

その他の攻撃

RFC2181 5.4.1. Ranking data では CNAME の A は再検索することになっているが、、、

Note that the answer section of an authoritative answer normally contains only authoritative data. However when the name sought is an alias (see section 10.1.1) only the record describing that alias is necessarily authoritative. Clients should assume that other records may have come from the server's cache. Where authoritative answers are required, the client should query again, using the canonical name associated with the alias.

世の中には CNAME とともに Answer に含まれる A を再検索することなく受け入れる実装が存在する
(Unbound や最近の BIND は大丈夫)

攻撃パターン

問い合わせ
   $random.example.jp.  IN  A
本物の応答
   NXDOMAIN (SOA)
偽応答
   AA flag: 1
   Answer Section: $random.example.jp. IN CNAME www.example.jp.
   Answer Section: www.example.jp.     IN A     192.0.2.1

もちろん NS への毒入れも狙われる

$random.example.jp のネガティブキャッシュは攻撃の邪魔にならない

DNSSEC の弱点

DNSSEC では委任情報は保護されない
Authority Section は検証されず偽権威に誘導され偽 NS キャッシュの TTL が切れるまで DoS 状態となる
OPT-OUT運用だとどうなる?
- RFC5155 を良く読んでみましょう (Errataもあり難解)
- 「NSEC3+Opt-Outの仕様では、署名済サブドメインが一つもない場合、empty non-terminalは必ずしも保護されない」(by JPRS)
- *.aichi.jp などは危険だった → 署名付き TXT RR で保護された
- サブドメインに全く署名のない gouv.fr などは守られていない? (RFC5155 Erratta ID:3441 に従って empty non-terminal に NSEC3 RR が生成されているかどうかによる)
- 詳しくは後藤芳和氏の「co.jp への TXT 追加の謎」参照
DNSSEC が安全でないことは D.J.Bernstein が 2009年に書いている

Breaking DNSSEC, D.J.Bernstein, 2009

Easiest, most powerful attack:
  Can ignore signatures.
  Suppose an attacker forges a DNS packet from .org, 
  including exactly the same DNSSEC signatures
  but changing the NS+A records to point to the attacker’s servers.

Fact: DNSSEC “verification”
  won’t notice the change.
  The signatures say nothing about the NS+A records.
  The forgery will be accepted.

対策

まずは移転インジェクション対策
- これを対策しないと NS なしゾーンや親子同居など関係なく毒入れ可能、ルートゾーンにも毒入れ可能
- RFC2181を無視すればよい
- Answer に付随する Authority/Additional Section は無視する
- NS 移転時の運用を見直す必要あり
- RFC2181の見直し
委任インジェクション対策
- 委任の NS は追わざるを得ないので移転インジェクション対策より困難
- 親子同居、empty non-terminal の解消
- 子孫ゾーンの名前を NS に用いない
- NS + A の再検査 (TCP を利用) など
その他包括的対策
- 0x20 (エントロピーを増やす)

DNS 毒入れの真実