ICANN、大規模かつ継続的なDNS攻撃が発生しているとして警告 33
ストーリー by hylom
なかなか大変だ 部門より
なかなか大変だ 部門より
あるAnonymous Coward曰く、
DNSを狙った攻撃が増加しているとして、インターネットの名前空間などの管理・運用を行う団体であるICANNが警告を出している(ICANNの発表、Engadget日本版、ITmedia、TechCrunch)。
米国やその友好国であるレバノン、UAEを狙った攻撃も行われているとの話もあるようだ。
発表では、DNSレコードを改ざんしてドメイン名に紐付けられたIPアドレスを書き換えるような攻撃が行われているとし、セキュリティを強化したDNSSECの利用を推奨している。ただ、DNSの使用率はまだ少なく、Cloudflareなどまだ一部がサポートしているだけという状況だという(TechCrunch)。
DNSの使用率はまだ少なく、Cloudflareなどまだ一部がサポートしているだけ (スコア:1)
この「DNS」って、「DNSSEC」の誤記?
Re:DNSの使用率はまだ少なく、Cloudflareなどまだ一部がサポートしているだけ (スコア:2, すばらしい洞察)
DNSの使用率が低いインターネッツを想像できない
Re: (スコア:0)
覚えやすいIPアドレスが高値で取引されるんだ
Re: (スコア:0)
Re: (スコア:0)
プライスレス。
Re: (スコア:0)
それは私が使っている。
売る予定もありません。
Re: (スコア:0)
ドメイン-IPアドレスのリストを手動で更新している世界。
最新で質の高い情報は入手しにくいため、海賊版の使用が横行。
そういう人達を狙った攻撃が最近増えている。
と妄想してみた。
Re: (スコア:0)
> ドメイン-IPアドレスのリストを手動で更新している世界。
インターネットが固有名詞でなく「相互接続ネットワーク」を表していた頃はそんな感じだったって話を読んだような気がする。
hostsファイルで運用する感じ。
Re: (スコア:0)
「あれ、洗濯挟みが落ちてるよ?」
Re: (スコア:0)
プラ製の洗濯ばさみなら不許可である
--- 原理主義者
敵対勢力 (スコア:0)
>米国やその友好国であるレバノン、UAEを狙った攻撃も行われているとの話もあるようだ。
中東のとばっちり?
Re: (スコア:0)
イランが黒幕だという話だろうが、正直あの辺の国はお互いさまでやり合ってるんじゃないかと
欺瞞 (スコア:0)
今問題になっているレジストラのアカウント乗っ取りやブロードバンドルータのリゾルバ設定の改竄などに DNSSEC は役に立ちません。火事場泥棒のような DNSSEC プロバガンダです。
Re: (スコア:0)
> 火事場泥棒のような DNSSEC プロバガンダです
結局DNSSECでも毒入れされたことが検知できるだけで、アクセス不能にされてしまうことを防ぐことはできないんですよねえ。
で、毒入れ検知だけなら TLS でもできるわけで、かなり微妙。
リフレクション攻撃は DNSSEC 使うとむしろ攻撃効果を増大させるし。
Re: (スコア:0)
キャッシュサーバに毒が入るパターンがメインで、その場合、毒入れ検知はTLSだと無理。
キャッシュサーバとコンテンツサーバの間で全部TLSなら問題ないけどそんなパターンはほぼないし。
# 今回のパターンでDNSSECが意味ないというのは変わりないが
Re: (スコア:0)
> キャッシュサーバに毒が入るパターンがメインで、その場合、毒入れ検知はTLSだと無理。
あれれ?
ネットの利用って DNS だけに閉じた話じゃないわけで、
毒入れされた名前に https なり smtp + TLS なりでアクセスしにいった段階で検知が可能なのでは?
Re: (スコア:0)
https なり smtp + TLS なりでアクセスしにいった段階で攻撃達成している場合もあるのでは?
Re:欺瞞 (スコア:1)
> https なり smtp + TLS なりでアクセスしにいった段階で攻撃達成している場合もあるのでは?
まあごくごく稀にはそういうケースもあるのかもしれないけど、ほとんど存在しないし、
もしもあったとしても他の脆弱性との合わせ技を使わない限り実害はないんじゃないかな。
もし実際にあるっていうのなら過去にあった攻撃の具体例を挙げてみてほしい。
Re:欺瞞 (スコア:1)
ツリーの流れからするとオフトピなのは承知だけど、もう少しクライアント側だけでなくサーバ側のことも気にしてあげてもいいと思うの。
Re: (スコア:0)
> サーバ側のことも気にしてあげてもいいと思うの。
それがサーバーに対する DDoS 攻撃のことであれば、DNSSEC の導入自体がその危険を高めるので、
DNSSEC がビミョーな技術だという論旨を補強するだけですよ。
Re: (スコア:0)
CDNのキャッシュサーバー(TLSはここで終端される)が本来のコンテンツサーバーではないところからコンテンツを引っ張ってしまう話でしょ
Re: (スコア:0)
いま、韓国のやっている TLS 接続時の SNIフィールドを利用したブロッキングを回避するには役に立つんじゃないかな
DNSの攻撃といえば… (スコア:0)
5年ほど前のeo光及び関連サーバーのを思い出す。
CATVだったけどどうもその影響受けてたっぽいし。
今時、何が起きるかわからん世の中やなあと思う。
Re: (スコア:0)
CATVで思い出すのは
隣家の共有フォルダ丸見え事件の方だな
Re:DNSの攻撃といえば… (スコア:1)
そういう自分も「WORKGROUP」だったので、ネットワークの設定を直ぐに変えました。
共有サービスは動かしていなかったのですが、念の為に。
#まだXPだった頃の話だから、最近は大丈夫なのかなぁ、さすがに。
Re: (スコア:0)
そして、共有フォルダが見える見えないは、DNSとは関係ないですね。
部門名を毎回考えるのも (スコア:0)
なかなか大変だ
Re: (スコア:0)
いかん! に統一したら良いと思う
せやけど DNS over TLS も大概やで (スコア:0)
DNSSECが言うほど使いものにならないのは、浸透っていうなの人の指摘から明らかだったので
自宅のキャッシュサーバをDNS over TLSにしてやろうと思いたち
とりまunboundのforward-tls-upstreamをyesにして、2606:4700:4700::1111@853と2620:fe::fe@853を放りこんで放置したら、「最近ネットが遅い」と家族から苦情が来た
一件の問い合わせに対して平均で10ms近くかかってたからな
あんなん常用してる奴いるんだろうか・・・
Re: (スコア:0)
> 一件の問い合わせに対して平均で10ms近くかかってたからな
10msecならまずまずの値だと思う。
ふつうの家庭用ルータだったらもう少し遅い気がするけれど、そんなことない?
Re: (スコア:0)
単純に、どういう思考をされたのか気になったので質問するのですが。
ご自宅から2606:4700:4700::1111とか2620:fe::feまでの経路は守れるかもしれませんが、
それらも結局反復検索するので、権威DNSサーバーとの間の通信が守られているのか気になったりしませんか?
2606:4700:4700::1111はDNSSEC検証を行っているのですが(www.dnssec-failed.orgを問い合わせてみてください)、その点についてはどうお考えなのでしょうか。
ついでに、ご家族も含めたDNSクエリーの記録を、電気通信事業法による守秘義務すら課されていない第三者に渡している点についてもどうお考えなのでしょうか。
DNSSECは失敗 (スコア:0)
NATの中からは使えませんとかアホかバカかと
Re: (スコア:0)
それはそのNAT箱が古くてDNSSECに対応してないからだろ。
NATやIPマスカレードの勃興期にはFTPに対応できていないNAT実装はざらにあったぞ。それとおなじだろ
(だからこそFTPでpassiveでつなぐというのが解決策になった)