MoinQ:

DNS/毒盛再考/Mueller手法/node-redelegationについて、ここに記述してください。

DNS/node_re-delegation

TTLに制約されない問合せ (Kaminsky と同じ)

1. Using node re-delegation to eliminate the TTL problem

For a more effective TXID guessing attack, we will need to generate queries that do not elicit a valid, cacheable response record from the authoritative name server.

正当な返答が返って、キャッシュされても支障がでないような問合せを選ぶ。(かなり、ボヤかした書き方)

注)問合せを連続して送りつけるための条件:影響とはキャッシュサーバが外部への問合せを行わなくなるようなことです。

We can accomplish this by avoiding direct queries for our target node, but rather requesting addresses for non-existent nodes that seemingly belong to a zone deeper down the DNS hierarchy.

攻撃目標ノードに対して問合せをするのではなく、存在していないはずの「ターゲットのサブドメイン名」を問い合わせる。

We can then try to spoof a response that delegates the zone to a name server of our choice.

そうすれば、ゾーンを配下のサーバに委譲するような偽委譲返答を送りつけられる。

This attack is based on the fact that resolvers will cache any delegations that are closer to the requested node. From RFC 1034 [5]:

委譲の仕組みを利用する。

"If the response shows a delegation, the resolver should check to see that the delegation is "closer" to the answer than the servers in SLIST are. This can be done by comparing the match count in SLIST with that computed from SNAME and the NS RRs in the delegation. If not, the reply is bogus and should be ignored. If the delegation is valid the NS delegation RRs and any address RRs for the servers should be cached. The name servers are entered in the SLIST, and the search is restarted."

-- ToshinoriMaeno 2014-08-31 08:08:30

2. 攻撃例

www.example.com を別サーバに委譲する。

(通常はAレコードがあって、キャッシュされているが、委譲NSレコード毒はキャッシュに受け入れられるだろう。-- ToshinoriMaeno 2014-12-19 00:34:58)

3. コメント

かなりぼやかした書き方になっているので、偽NSレコードを送り込むということ以外はわかりにくい。

2008年当時としては、これ以上の具体的な攻撃を記述することを控えたことが想像できる。

TTLが毒盛攻撃防御にはあまり貢献しないことを示したのは重要な指摘である。