「詐欺的DNSサーバ」が増加中 58
ストーリー by mhatta
あの手この手 部門より
あの手この手 部門より
pinbou 曰く、
本家/.の記事より。悪意あるクラッカーにより設置され、問い合わせ に対し正当なIPアドレスを返さない「詐欺的DNSサーバ」 (Rogue DNS Servers)が増加しているそうだ(AP 通信の記事)。ジョージア工科大学とGoogleが共同で行った調査によ ると、インターネット上には約68,000もの詐欺的DNSサーバが存在する。 マルウェア等によりエンドユーザのコンピュータの設定が汚染されたDNS サーバを参照するように改変されてしまった場合、クラッカーはいかなる 偽サイトにもユーザを誘導することができる。実際に誘導される先はいか にもインチキくさいものからほぼ完璧なコピーサイトまで様々のようだが、 深刻な脅威であることに違いはない。アンチウイルスソフトでは手の施し ようがない場合が多いのが、この手法の普及に一役買っているようだ。
hostsファイル汚染の次はやはりこれですか (スコア:4, 興味深い)
そのうちDNSサーバの信頼性を定期的にチェックしなければならないのかなぁ・・・
「whoisにホスト登録されたDNS」か「そこから相互認証しているDNS」しか受け入れないとかやります?
それともユーザのいるセグメントからインターネットの53番ポートへのブロックとか?
Re:hostsファイル汚染の次はやはりこれですか (スコア:4, すばらしい洞察)
普段のDNSサーバそのものが汚染ってのは、目的のサイトそのものが汚染と同様、エンドユーザーにはどうにもならんでしょ。
Re:hostsファイル汚染の次はやはりこれですか (スコア:2, 参考になる)
ファイアウォールを設置しているのであれば、ファイアウォールで内側にある「信頼できる」DNSサーバ以外からのDNSクエリ (udp/tcp.port=53) を落とすようにすれば良いのではないかと。
万が一DNSの設定を書き換えられたとしても「DNSの問い合わせが失敗する」=「見えなくなる」形で問題が顕在化するので安心できるはず。
Re:hostsファイル汚染の次はやはりこれですか (スコア:1, 参考になる)
日本のご家庭の多くはブロードバンドルータに類するものを使っていると 思いますし、ブロードバンドルータ自身からの、またはプロバイダから 指定されるネームサーバへのdnsパケットだけを通し、 それ以外はフィルタすればいいんじゃないでしょうか。
知らないうちに外部のDNSサーバを参照するよう変更されてしまっても すぐに気づきますし、それが導く被害にあう危険を防止できます。
Re:hostsファイル汚染の次はやはりこれですか (スコア:1, 興味深い)
「詐欺的」じゃなくて (スコア:3, すばらしい洞察)
他人を欺罔し錯誤に陥れさせているのが明白ですから。
「詐欺的」だと「詐欺っぽいけどぎりぎり合法」と言われているような気が。
Re:「詐欺的」じゃなくて (スコア:1, 興味深い)
バールの親戚のようなもの (スコア:0)
ということでしょうか。
Re: (スコア:0)
そのセンスは理解しがたいな。君は「科学的」は「詐欺っぽいけどぎりぎりインチキ」と受け取る?
typo (スコア:0)
です。
Re: (スコア:0)
N:ネーム
S:詐欺
野良無線LANとかも危ないよね (スコア:3, すばらしい洞察)
Re:野良無線LANとかも危ないよね (スコア:2, すばらしい洞察)
DHCPでDNSが偽装されるだけじゃないです。
通信するすべてのパケットのログをとられているかもしれないし、
そのパケットすら偽装されているかもしれないということを考慮しなきゃあかん。
つまり、野良無線LANで接続されたネットワークに、
信頼性もなきゃ、秘匿性もまったくないというリスクを認識すべき。
良い詐欺的DNSサーバ? (スコア:3, 興味深い)
改造していじくりまわす人が多いのですが、蓋を開けてシリアルコンソールでアクセスする人も居ますが
こいつが定期的にFON本部のサーバにアクセスして更新プログラムを実行しているのを悪用して
詐欺的DNSサーバと偽RADIUSサーバ [datenbruch.de]を使ってiptablesのルールの変更とsshdの起動を行い、お手軽にログインするのが流行っています
Re: (スコア:0)
誰に対して良いのか、そして誰かに不利益をもたらしている可能性を明確に
Re:良い詐欺的DNSサーバ? (スコア:1)
# 別に第三者に利益を与えるものではないですね。
あと予想ですが、このような利用方法をFONは認めているわけではないかと。
まあせいぜい黙認しているレベルの話でしょうね。
@ytnobody
手のうちようがない? (スコア:2, すばらしい洞察)
んーっと。
多分こういうときに一番に狙われるのは、
検索サイトや、銀行、カード会社ですよね?
定期的に、nslookup で、DNSサーバ決めうちのクエリを狙われやすいサイトに対してかけて
それがサーバ決めうちでない結果と大きく食い違ったら(ネットワークのオーナーとかが)
警告を出すとか?
# まあこの仕組みをアンチウィルス系の会社がやろうとおもったら
# 正しいDNSサーバ(決めうち側)をどう用意するかが問題ですが
Re:手のうちようがない? (スコア:2, 興味深い)
Re:手のうちようがない? (スコア:2, おもしろおかしい)
Re: (スコア:0)
オクテットごとに昇順に並べ替えて全マッチすればいいんじゃないかな?
あれ?いつもよりサーバが1個多い……
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
さて、どうしたものやら・・
Re: (スコア:0)
安全製重視→「エラー」を表示して見せない
自前サンドボックスなどで慎重に実行→「エラー」を表示の上見せる
運を天に任せる→多数決
とすれば?
Re:手のうちようがない? (スコア:2, 参考になる)
>検索サイトや、銀行、カード会社ですよね?
#「狙われた」わけではないけども。
VISAドメイン問題解説
http://www.e-ontap.com/summary/fornondnsexpert.html [e-ontap.com]
ついでにこれも。
DNSの不適切な運用が生むドメインハイジャックの危険性について
http://www.e-ontap.com/dns/risk.html [e-ontap.com]
Re:手のうちようがない? (スコア:1, 興味深い)
この記事におけるクラック対象はISPや企業内のDNSキャッシュサーバです。DNSキャッシュサーバは本来ネットワーク外から参照するものではなく、そのような対策は実質的に不可能です。
現状やれる根本的な解決策は(EV)SSL証明書ぐらいしかないんじゃないんでしょうか。
Re:手のうちようがない? (スコア:1, 興味深い)
>DNSキャッシュサーバは本来ネットワーク外から参照するものではなく、そのような対策は実質的に不可能です。
企業内だとDNS リクエストが外に行かないかもしれませんが
ISPのキャッシュサーバなら、別に外のDNS見に行けますよね?
正しいDNSサーバを用意できないって、上で書いたのは
単に負荷が上流に集中するので大変だよなぁ、と言う意味でして・・・
Re: (スコア:0)
Re: (スコア:0)
え、そうなの?そうは読めなかった。
エンドユーザーの参照DNS設定をクラックして云々かと思ってましたが。
Re:手のうちようがない? (スコア:1, 参考になる)
汚染話だと気づいて欲しいけれどねぇ。DNS,DNSって書いてあるけど今回はリゾル
バとかキャッシュサーバとかそっちの話だ。
djbdnsでいうdnscache、Powerdnsのpdns-recursor等が役割をになうタイプ。
対策は端末自身にリゾルバ入れればOK。
Re:手のうちようがない? (スコア:1)
日本の場合、プロバイダがルータ送りつけるときにDNS塞いで、ルータが参照するDNSのアドレスも変更不可にしておけばいいとおもふ。
Re:手のうちようがない? (スコア:1)
アンチウイルスソフトは無力ってだけで、こういう場合「一役買っている」って言うのかな?
Re: (スコア:0)
「既存のアンチウイルスソフトでは対処できない」手法がでしょ?
Re: (スコア:0)
あんな感じに正しい DNS も登録しておいて、システムの設定が違っていたら警告、で良くない?
Re: (スコア:0)
OSのDNS参照先が自分でなければ警告、自分の保持してるキャッシュがアンチウィルスソフトの
会社のキャッシュと食い違ったら警告、hostsファイルの改竄を警告……
Re: (スコア:0)
DNS spoof はできても、サーバ証明書は偽造できないでしょ。
逆引きすれば? (スコア:2, 参考になる)
ってすればいけるかなぁと思った。
バーチャルドメインサーバで死亡ってオチが見えるけど。
Re:逆引きすれば? (スコア:4, 参考になる)
# www.asahi.comとかさ・・・
DNS Cache Poisonの亜種みたな物なのかしら、この詐欺的DNSサーバって。
Re:逆引きすれば? (スコア:2, すばらしい洞察)
Re:逆引きすれば? (スコア:2, すばらしい洞察)
DNSSECはどう? (スコア:1)
OSの持っているリゾルバ周辺のライブラリに細工されたらだめなんでしょうけど.
屍体メモ [windy.cx]
そのDNSは (スコア:0)
もうなんていうかDNSも破綻してきているという証拠でしょうかね
Re: (スコア:0)
根拠が不明ですね。「証拠」とか言われても困ります。
この仕組みの場合「上位DNSとリンク」している必要はありません。
簡単な解決策 (スコア:0)
・・・何か忘れてますけどね。
Re:簡単な解決策 (スコア:2, 興味深い)
アンチウィルスソフトメーカー各社のサポート情報やら、アップデートやらウィルスDBやらに接続出来ないようにするウィルスはありますよ
Re:簡単な解決策 (スコア:2, おもしろおかしい)
ワクチンソフトの会社が hosts ファイルを配布すればいいじゃん。
なんて先祖帰り。
Re:簡単な解決策 (スコア:1)
会社にもよると思いたいけども、年に何度もトラブルが起きますし。
ウィルスの誤検知やらシステムクラッシュやらネットワーク遮断するやら。
そんな会社がDNSサーバーを運用したらどうなるか目に見えてます。
Re: (スコア:0)
どこにどれだけ怪しげなDNSサーバが増えようと、そんなの見なけりゃいいじゃん、ということで。
Re:簡単な解決策 (スコア:1)
だから、DNSサーバは分散管理されているわけで。
銀行系とか、クリティカルなのだけは特定のDNSサーバを参照とかすればいいのかなぁ。
大昔のWindows (スコア:0)