パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

DNSプロトコルを悪用して指令を受ける遠隔操作ウイルスが確認される」記事へのコメント

  • by Anonymous Coward

    Google Public DNS終了のお知らせ

    • > OP53Bクルー?

      > Google Public DNS終了のお知らせ

      勘違いしているでしょう。外部の DNS レコードを検索できる限り、DNS キャッシュサーバが組織内だろうが外だろうが関係なさそうです。

      完全に阻止するためには、各 PC は外部の DNS は検索できないようにしておいて、外部 Web サイト閲覧は(例外的に外部 DNS を検索できる)プロキシサーバ経由とすれば OK という話かと。

      • by taka2 (14791) on 2016年02月03日 10時09分 (#2958810) ホームページ 日記

        「DNSプロトコルを悪用して」とか「不正なDNSパケット」という説明が誤解を招きやすいと思いますね。
        単に「DNSサーバが不正な情報を提供している」だけで、
        通信上はあくまで「正規のDNSプロトコル用法」であり、通信されるパケットも「正規のDNSパケット」。やってることは「WWWサーバ上にC&C指示をHTMLファイルとして設置」して「HTTPプロトコルで司令をダウンロードする」のと同レベルなんですが、HTTP通信は内容の検閲やフィルタリングが容易ですが、DNS通信はそういうことをあんまりやってない、という抜け穴。

        で、比較的容易な対策ですけど、「各 PC は外部の DNS からは検索できない」ようにする」「内部のDNSは、NS/A/AAAA/PTR/CNAMEレコードのみ返し、TXTレコードは返さない」ようにすればいいでしょう。
        元々、TXTレコード自体は実運用に不要なコメント的なものであり(だからこそ、どんな情報でも載せられるので、今回のような悪用ができるわけですが)、
        今時だとTXTの主な用法はSPFでしょうけど、これはクライアント側で情報取得できなくても問題ないですから、TXTレコードが取得できなくなっても実害はないかと。

        そう考えると「OP53B」というのもあながち間違った運用じゃないと思います。

        親コメント
        • by ogino (1668) on 2016年02月03日 10時30分 (#2958827) 日記

          TXT レコードをフィルタするのは ALG などのアプリケーション層で、OP53B の ポート番号 53(レイヤー4)とはレイヤーが違います。

          # OP25B と迷惑メールフィルターぐらい違う?

          親コメント
          • by ogino (1668) on 2016年02月03日 10時43分 (#2958834) 日記

            すみません、今度は私が勘違いしていました。一般 PC は OP53B ということですね。商用 ISP では許されないでしょうが。

            親コメント
          • by Anonymous Coward

            TXT レコードをフィルタするのは ALG などのアプリケーション層で、OP53B の ポート番号 53(レイヤー4)とはレイヤーが違います。

            「各 PC は外部の DNS からは検索できない」という部分に対してOP53Bが有効という意味ではないでしょうか?
            TXTレコードのフィルタは親コメントの通り内部DNSで。何らかのフィルタリング装置・ゲートウェイ等でやったら大量のDNSの検査処理で通信が遅くなりそうだ

            #意外といけるのかなぁ

        • by Anonymous Coward

          TXTレコード自体は実運用に不要なコメント的なもの

          SPFでTXTを使用しているのを知らないんだなあ。

          • その後ろの

            今時だとTXTの主な用法はSPFでしょうけど、これはクライアント側で情報取得できなくても問題ない

            の一文も読んで欲しかった。

            SPF用のTXTレコードは、メールを受信したメールサーバが読めればいいのであって、末端のクライアントPCが知る必要はありません。

            親コメント
          • by Anonymous Coward

            少なくとも、SPFが具体的にどうTXTレコードを使っているのか知らないね。

        • by Anonymous Coward

          野良 DNS サーバの場合は透過プロキシで TXT をフィルタリングしたり、OP53B で防げても、正規の DNS サーバなら PTR, CNAME そのものをデータとして使われると、もうどうにもならん。(16進テキスト表記のホスト名とか)

          まあ、何かあった時に速攻で捕まるかも知れんが。

        • by Anonymous Coward

          TXTレコードがダメならCNAMEとかMXレコード使われるんじゃない?
          情報量は減るが、問い合わせ回数でカバー出来ちゃうし。やろうと思えばAレコードでもやれるかも知れないし。

          sore.zenbu.burokku.suruno. IN CNAME dekinai.desho.zenbu.burokku.suruno.

        • by Anonymous Coward

          C&Cとの通信がどの程度の帯域を必要とするのか分かってないのですが、
          Aレコードの問い合わせに対する返信には32ビットの情報を載せられますよね。AAAAなら128ビット。
          それを、TTLを極小に設定して何度も問い合わせるか、ランダムなホスト名を引く振りして何度も通信をするかして増やしてやれば…

          という抜け道は、別途「すごく不審なDNSクエリ」として落とす、というような運用で防げるもんなんでしょうか?

ソースを見ろ -- ある4桁UID

処理中...