パスワードを忘れた? アカウント作成
13848452 story
インターネット

ICANN、大規模かつ継続的なDNS攻撃が発生しているとして警告 33

ストーリー by hylom
なかなか大変だ 部門より
あるAnonymous Coward曰く、

DNSを狙った攻撃が増加しているとして、インターネットの名前空間などの管理・運用を行う団体であるICANNが警告を出している(ICANNの発表Engadget日本版ITmediaTechCrunch)。

米国やその友好国であるレバノン、UAEを狙った攻撃も行われているとの話もあるようだ。

発表では、DNSレコードを改ざんしてドメイン名に紐付けられたIPアドレスを書き換えるような攻撃が行われているとし、セキュリティを強化したDNSSECの利用を推奨している。ただ、DNSの使用率はまだ少なく、Cloudflareなどまだ一部がサポートしているだけという状況だという(TechCrunch)。

  • この「DNS」って、「DNSSEC」の誤記?

    ここに返信
    • by Anonymous Coward on 2019年02月27日 16時46分 (#3572185)

      DNSの使用率が低いインターネッツを想像できない

      • by Anonymous Coward

        覚えやすいIPアドレスが高値で取引されるんだ

        • by Anonymous Coward
          192.168.0.1はいくらですか
          • by Anonymous Coward

            プライスレス。

          • by Anonymous Coward

            それは私が使っている。
            売る予定もありません。

    • by Anonymous Coward

      ドメイン-IPアドレスのリストを手動で更新している世界。
      最新で質の高い情報は入手しにくいため、海賊版の使用が横行。
      そういう人達を狙った攻撃が最近増えている。

      と妄想してみた。

      • by Anonymous Coward

        > ドメイン-IPアドレスのリストを手動で更新している世界。

        インターネットが固有名詞でなく「相互接続ネットワーク」を表していた頃はそんな感じだったって話を読んだような気がする。
        hostsファイルで運用する感じ。

      • by Anonymous Coward

        「あれ、洗濯挟みが落ちてるよ?」

        • by Anonymous Coward

          プラ製の洗濯ばさみなら不許可である

          --- 原理主義者

  • by Anonymous Coward on 2019年02月27日 16時16分 (#3572163)

    >米国やその友好国であるレバノン、UAEを狙った攻撃も行われているとの話もあるようだ。

    中東のとばっちり?

    ここに返信
    • by Anonymous Coward

      イランが黒幕だという話だろうが、正直あの辺の国はお互いさまでやり合ってるんじゃないかと

  • by Anonymous Coward on 2019年02月27日 17時17分 (#3572210)

    今問題になっているレジストラのアカウント乗っ取りやブロードバンドルータのリゾルバ設定の改竄などに DNSSEC は役に立ちません。火事場泥棒のような DNSSEC プロバガンダです。

    ここに返信
    • by Anonymous Coward

      > 火事場泥棒のような DNSSEC プロバガンダです

      結局DNSSECでも毒入れされたことが検知できるだけで、アクセス不能にされてしまうことを防ぐことはできないんですよねえ。
      で、毒入れ検知だけなら TLS でもできるわけで、かなり微妙。

      リフレクション攻撃は DNSSEC 使うとむしろ攻撃効果を増大させるし。

      • by Anonymous Coward

        キャッシュサーバに毒が入るパターンがメインで、その場合、毒入れ検知はTLSだと無理。
        キャッシュサーバとコンテンツサーバの間で全部TLSなら問題ないけどそんなパターンはほぼないし。
        # 今回のパターンでDNSSECが意味ないというのは変わりないが

        • by Anonymous Coward

          > キャッシュサーバに毒が入るパターンがメインで、その場合、毒入れ検知はTLSだと無理。

          あれれ?
          ネットの利用って DNS だけに閉じた話じゃないわけで、
          毒入れされた名前に https なり smtp + TLS なりでアクセスしにいった段階で検知が可能なのでは?

          • by Anonymous Coward

            https なり smtp + TLS なりでアクセスしにいった段階で攻撃達成している場合もあるのでは?

            • by Anonymous Coward on 2019年02月28日 10時38分 (#3572570)

              > https なり smtp + TLS なりでアクセスしにいった段階で攻撃達成している場合もあるのでは?

              まあごくごく稀にはそういうケースもあるのかもしれないけど、ほとんど存在しないし、
              もしもあったとしても他の脆弱性との合わせ技を使わない限り実害はないんじゃないかな。

              もし実際にあるっていうのなら過去にあった攻撃の具体例を挙げてみてほしい。

              • by Anonymous Coward on 2019年02月28日 10時49分 (#3572582)

                ツリーの流れからするとオフトピなのは承知だけど、もう少しクライアント側だけでなくサーバ側のことも気にしてあげてもいいと思うの。

              • by Anonymous Coward

                > サーバ側のことも気にしてあげてもいいと思うの。

                それがサーバーに対する DDoS 攻撃のことであれば、DNSSEC の導入自体がその危険を高めるので、
                DNSSEC がビミョーな技術だという論旨を補強するだけですよ。

              • by Anonymous Coward

                CDNのキャッシュサーバー(TLSはここで終端される)が本来のコンテンツサーバーではないところからコンテンツを引っ張ってしまう話でしょ

      • by Anonymous Coward

        いま、韓国のやっている TLS 接続時の SNIフィールドを利用したブロッキングを回避するには役に立つんじゃないかな

  • by Anonymous Coward on 2019年02月27日 17時49分 (#3572243)

    5年ほど前のeo光及び関連サーバーのを思い出す。
    CATVだったけどどうもその影響受けてたっぽいし。
    今時、何が起きるかわからん世の中やなあと思う。

    ここに返信
    • by Anonymous Coward

      CATVで思い出すのは
      隣家の共有フォルダ丸見え事件の方だな

      • by uippi (9904) on 2019年02月28日 14時54分 (#3572696) 日記
        小倉の某ビジネスホテルに泊まった時、ホテルのLANを利用していて何の気なしにワークグループ開いてみたらデフォルトのWORKGROUP参加PCが山ほど見つかって、ヤベーと思った記憶が。
        そういう自分も「WORKGROUP」だったので、ネットワークの設定を直ぐに変えました。
        共有サービスは動かしていなかったのですが、念の為に。

        #まだXPだった頃の話だから、最近は大丈夫なのかなぁ、さすがに。
        • by Anonymous Coward

          そして、共有フォルダが見える見えないは、DNSとは関係ないですね。

  • by Anonymous Coward on 2019年02月27日 19時38分 (#3572307)

    なかなか大変だ

    ここに返信
    • by Anonymous Coward

      いかん! に統一したら良いと思う

  • by Anonymous Coward on 2019年02月27日 20時44分 (#3572353)

    DNSSECが言うほど使いものにならないのは、浸透っていうなの人の指摘から明らかだったので
    自宅のキャッシュサーバをDNS over TLSにしてやろうと思いたち
    とりまunboundのforward-tls-upstreamをyesにして、2606:4700:4700::1111@853と2620:fe::fe@853を放りこんで放置したら、「最近ネットが遅い」と家族から苦情が来た

    一件の問い合わせに対して平均で10ms近くかかってたからな
    あんなん常用してる奴いるんだろうか・・・

    ここに返信
    • by Anonymous Coward

      > 一件の問い合わせに対して平均で10ms近くかかってたからな

      10msecならまずまずの値だと思う。
      ふつうの家庭用ルータだったらもう少し遅い気がするけれど、そんなことない?

    • by Anonymous Coward

      単純に、どういう思考をされたのか気になったので質問するのですが。

      ご自宅から2606:4700:4700::1111とか2620:fe::feまでの経路は守れるかもしれませんが、
      それらも結局反復検索するので、権威DNSサーバーとの間の通信が守られているのか気になったりしませんか?

      2606:4700:4700::1111はDNSSEC検証を行っているのですが(www.dnssec-failed.orgを問い合わせてみてください)、その点についてはどうお考えなのでしょうか。

      ついでに、ご家族も含めたDNSクエリーの記録を、電気通信事業法による守秘義務すら課されていない第三者に渡している点についてもどうお考えなのでしょうか。

  • by Anonymous Coward on 2019年02月28日 11時30分 (#3572599)

    NATの中からは使えませんとかアホかバカかと

    ここに返信
    • by Anonymous Coward

      それはそのNAT箱が古くてDNSSECに対応してないからだろ。
      NATやIPマスカレードの勃興期にはFTPに対応できていないNAT実装はざらにあったぞ。それとおなじだろ
      (だからこそFTPでpassiveでつなぐというのが解決策になった)

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...