パスワードを忘れた? アカウント作成
10833341 story
インターネット

JPRSがDNSキャッシュポイズニング攻撃に対する緊急の注意喚起を出す 18

ストーリー by hylom
仕様における脆弱性は大きい 部門より
ultrageek 曰く、

4月15日、JPRSが「(緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について」という文書を公開した。最近キャッシュDNSサーバーに対するキャッシュポイズニング攻撃が増加しているということから、問い合わせUDPポートのランダム化などの対策を強く推奨するものだ。

JPRSによれば、問い合わせUDPポートのランダム化(ソースポートランダマイゼーション)が有効にされていないと考えられるキャッシュDNSサーバーは依然として約10%程度を占めているとのことである。これは、JPRSに対してカミンスキー型攻撃手法によるDNSサーバーへのアクセスが増加しているという報告があったということで緊急に行われた調査の結果らしい。

キャッシュポイズニング攻撃の効率を高めるカミンスキー型攻撃手法は、2008年7月に発表され、それ以降はUDPポートのランダム化が推奨されているわけだが、いまだに対応されていないサーバーも存在するということである。

また、中京大学の鈴木常彦教授とqmail.jpの運営で知られる東京工業大学の前野年紀准教授が最近検証を行った結果、DNSの仕様には大きな問題があり、それを使ってDNSキャッシュを汚染させることができることを公開している(キャッシュポイズニングの開いたパンドラの箱キャッシュポイズニングの開いたパンドラの箱 -2-)。

Geekなぺーじで概要がまとめられているが、

本来であれば、より上位からの正規の回答が優先されなければならないはずなのに、下位側が優先される仕様になっているので、偽装されたデータが優先されてしまう、といった感じの話です

だという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年04月16日 16時50分 (#2583295)

    インターネットお休みにしましょう

    • by Anonymous Coward on 2014年04月16日 18時27分 (#2583371)

      IPアドレス暗記少年の出番

      親コメント
      • by Anonymous Coward

        最近はIPアドレスでアクセスするとはじかれるページが多いよね
        そもそもIPベースでやらずに名前ベースでHP出してるところもおおいんじゃ?

        とおもって自分ではどうしてたかなとおもったら
        IP直で来るのは大抵スキャンとしてそのまま捨てたりしてたのを思い出した…

        • by Anonymous Coward on 2014年04月16日 20時11分 (#2583443)

          hostsファイルにエントリを追加してからブラウザを開いて名前でアクセスすればよろし

          親コメント
          • by Anonymous Coward

            そんなことしなくてもHTTP1.1のHostヘッダを送ればいいだけでは

            • by Anonymous Coward
              それを自在に出来るブラウザ環境を用意するよりはhostsの方がはやい
    • by Anonymous Coward

      そんなことしたらインターット先生の思う壺

  • by Anonymous Coward on 2014年04月16日 23時12分 (#2583587)

    東京工業大学の前野年紀准教授

    とっくの昔に停年でもう東工大にいないのでは?
    www.qmail.jpも東工大のアドレスじゃなくなってるし。

    • by Anonymous Coward

      前の准教授 ?
      ウチの大学に○○ ○助 教授 っていたなぁ。あの方は、教授になったのか、助 准教授になったのか。

  • by qwerty (20776) on 2014年04月16日 23時19分 (#2583592) 日記

    DNS の TCP 化(あるいは 3way handshake のようなアルゴリズムの変更)を
    するのが諸問題解決によいと思うんですが、扱うセッション数の問題以外に
    何か問題ありますかね?

    --
    [Q][W][E][R][T][Y]
    • by Anonymous Coward

      DNSクライアントの実装が今のままなら、応答時間の遅延が無視できなくなる。UDP版を順次廃止して、最初からTCP版オンリーで問い合わせ可能にするなら、改善できる可能性があるが、そうすると扱うセッション数の問題が無視できなくなる。
      もっとも、分散型システムであるが故に簡単に新しい方式に切り替えることができないこと自体が最大の問題かもしれない。

  • by Anonymous Coward on 2014年04月16日 20時03分 (#2583436)

    DNSSECを作っていたのではないの?

    • by Anonymous Coward

      タレこみにある「Geekなぺーじ」を読んで出直してください。

  • by Anonymous Coward on 2014年04月16日 21時31分 (#2583496)

    分からないので教えて、エロい人。

    • by Anonymous Coward

      ストーリーに誤字がなかったら、それはきっと偽物です。

  • by Anonymous Coward on 2014年04月17日 0時30分 (#2583625)

    JPRS の発行した「実践DNS」には node re-delegation に似た RFC2181 の欠陥を突いた毒入れ手法が小さな脚注で明らかにされています。
    彼らはこの方法で jp キャッシュに毒入れできないか検討しなかったのでしょうか。本当に今日まで事実に気づいていなかったのでしょうか。
    諺に「ハンロンの剃刀」という言葉があります。「無能で説明できることを陰謀と思うな」という意味ですが、さて真実はどうなのでしょうか。

    この世の中は真実を知ることができるように作られているのだろうか

  • by Anonymous Coward on 2014年04月17日 9時58分 (#2583774)

    「キャッシュポイズニングの開いたパンドラの箱」のリンク先には、ちゃんと「注:実験はすべて仮想インターネット環境上で行った」とありますね
    さすが、まともな研究者は金子勇さんとは違う

    • by Anonymous Coward
      規模が違いすぎるので無理がある。さすがミネラルウォーターはフライドポテトよりカロリーが少ない、とか言われても比較に意味がない。
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...