Kaminsky Attackの全て - Japan Network Information … Attackの全て Kaminsky...

13
JAPAN REGISTRY SERVICES JAPAN REGISTRY SERVICES 1 Copyright © 2008 株式会社日本レジストリサービス Kaminsky Attackの全て Kaminsky Attack解説と対策(前編) DNS DAY ~利用者を守れ~ Internet Week 2008 民田雅人 株式会社日本レジストリサービス JAPAN REGISTRY SERVICES JAPAN REGISTRY SERVICES 2 Copyright © 2008 株式会社日本レジストリサービス 目次 • DNSキャッシュポイズニング(毒入れ) 従来型の毒入れ攻撃手法 • Kaminsky型の毒入れ攻撃手法

Transcript of Kaminsky Attackの全て - Japan Network Information … Attackの全て Kaminsky...

Page 1: Kaminsky Attackの全て - Japan Network Information … Attackの全て Kaminsky Attack解説と対策(前編) DNS DAY ~利用者を守れ~ Internet Week 2008 民田雅人 株式会社日本レジストリサービス

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

1Copyright © 2008 株式会社日本レジストリサービス

Kaminsky Attackの全て

Kaminsky Attack解説と対策(前編)DNS DAY ~利用者を守れ~

Internet Week 2008

民田雅人

株式会社日本レジストリサービス

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

2Copyright © 2008 株式会社日本レジストリサービス

目次

• DNSキャッシュポイズニング(毒入れ)

• 従来型の毒入れ攻撃手法• Kaminsky型の毒入れ攻撃手法

Page 2: Kaminsky Attackの全て - Japan Network Information … Attackの全て Kaminsky Attack解説と対策(前編) DNS DAY ~利用者を守れ~ Internet Week 2008 民田雅人 株式会社日本レジストリサービス

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

3Copyright © 2008 株式会社日本レジストリサービス

DNSキャッシュポイズニング(毒入れ)

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

4Copyright © 2008 株式会社日本レジストリサービス

DNSキャッシュポイズニング(毒入れ)

• 予めキャッシュDNSサーバ(以下キャッシュサーバ)に偽の情報を覚えこませ、ユーザが正しいアクセスを行ったつもりでも、偽装サイトへ誘導する手法

• フィッシングやファーミングの為の攻撃手法の一つ

Page 3: Kaminsky Attackの全て - Japan Network Information … Attackの全て Kaminsky Attack解説と対策(前編) DNS DAY ~利用者を守れ~ Internet Week 2008 民田雅人 株式会社日本レジストリサービス

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

5Copyright © 2008 株式会社日本レジストリサービス

受け取った応答はしばらくキャッシュされる

DNSの正常な流れ(1回目のアクセス)

問い合わせ元権威

DNSサーバキャッシュ

DNSサーバ① ②

③④⑤

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

6Copyright © 2008 株式会社日本レジストリサービス

以前のアクセスと情報が一致していれば、キャッシュサーバで応答する

DNSの正常な流れ(2回目以降)

②③

問い合わせ元権威

DNSサーバキャッシュ

DNSサーバ

Page 4: Kaminsky Attackの全て - Japan Network Information … Attackの全て Kaminsky Attack解説と対策(前編) DNS DAY ~利用者を守れ~ Internet Week 2008 民田雅人 株式会社日本レジストリサービス

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

7Copyright © 2008 株式会社日本レジストリサービス

DNSへの毒入れ攻撃

偽の情報をキャッシュさせる

③④

問い合わせ元権威

DNSサーバキャッシュ

DNSサーバ

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

8Copyright © 2008 株式会社日本レジストリサービス

ISPのキャッシュサーバが狙われたら

ISPのキャッシュサーバ

ISPのカスタマー

カスタマー全員が被害に会う

Page 5: Kaminsky Attackの全て - Japan Network Information … Attackの全て Kaminsky Attack解説と対策(前編) DNS DAY ~利用者を守れ~ Internet Week 2008 民田雅人 株式会社日本レジストリサービス

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

9Copyright © 2008 株式会社日本レジストリサービス

DNS毒入れ攻撃の特徴

• ユーザが正常なアクセスを行っても、フィッシングサイトに誘導される

– 攻撃されたことに気づきにくい

• 同じキャッシュサーバのユーザ全員が影響を受ける– 大手ISPのキャッシュサーバが攻撃されると被害は甚大

• 攻撃そのものの検出が容易ではない– キャッシュへの毒入れは、見た目は通常のDNSパケットであるため、正常な応答と攻撃の区別が簡単ではない

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

10Copyright © 2008 株式会社日本レジストリサービス

DNSへの毒入れの問題

• 1990年ごろには、DNSへの毒入れの問題が知られていた

– 当時は設定が正しく行われていないためと考えられていた

– 攻撃手法として知られるようになったのは1990年代後半

• DNSへの毒入れ攻撃手法の分類– Kashpureff型

– 偽装応答型– Kaminsky型

Page 6: Kaminsky Attackの全て - Japan Network Information … Attackの全て Kaminsky Attack解説と対策(前編) DNS DAY ~利用者を守れ~ Internet Week 2008 民田雅人 株式会社日本レジストリサービス

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

11Copyright © 2008 株式会社日本レジストリサービス

従来型の毒入れ攻撃手法

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

12Copyright © 2008 株式会社日本レジストリサービス

Kashpureff型による毒入れ

• 攻撃者が管理する権威サーバへ問い合わせさせ、正規の応答パケットに問い合わせ内容と関係ないドメインの情報を附加してキャッシュサーバへ送り込む手法

• 1997年7月の大規模DNS乗っ取り事件– http://www.internic.net/ へアクセスすると、

http://www.alternic.net/ の内容が表示された

– AlterNICのEugene Kashpureff氏によるもの

Page 7: Kaminsky Attackの全て - Japan Network Information … Attackの全て Kaminsky Attack解説と対策(前編) DNS DAY ~利用者を守れ~ Internet Week 2008 民田雅人 株式会社日本レジストリサービス

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

13Copyright © 2008 株式会社日本レジストリサービス

Kashpureff型の攻撃example.jpでwww.jprs.co.jpの毒入れ

• example.jpゾーンの設定(一般の実装では不可能)@ IN NS www.jprs.co.jp.

www.jprs.co.jp. A 192.0.2.10

www A 192.0.2.1

• キャッシュサーバがwww.example.jpを検索;; 回答セクション

www.example.jp. A 192.0.2.1

;; 権威セクション

example.jp. NS www.jprs.co.jp.

;; 追加セクション

www.jprs.co.jp. A 192.0.2.10

www.jprs.co.jpの嘘の値をキャッシュする

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

14Copyright © 2008 株式会社日本レジストリサービス

Kashpureff型攻撃の対策

• キャッシュサーバは、問い合わせたドメインのゾーン外のレコードがあったら、信用せずに捨てる– example.jpドメインの応答に、jprs.co.jpの情報があるのはそもそも怪しい;; 回答セクションwww.example.jp. A 192.0.2.1;; 権威セクションexample.jp. NS www.jprs.co.jp.;; 追加セクションwww.jprs.co.jp. A 192.0.2.10 ← 信用してはいけない

• BINDの場合4.9.6、8.1.1で対策が行われた– 権威サーバ側も対策が行われて設定できなくなった

Page 8: Kaminsky Attackの全て - Japan Network Information … Attackの全て Kaminsky Attack解説と対策(前編) DNS DAY ~利用者を守れ~ Internet Week 2008 民田雅人 株式会社日本レジストリサービス

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

15Copyright © 2008 株式会社日本レジストリサービス

偽装応答型による毒入れ

• なんらかの手段を使い、本来の応答より先に偽装応答をキャッシュサーバに送り込み、偽情報をキャッシュさせる手法– 通常時DNSはUDPで通信するため、偽装応答が容易

• 攻撃手法– キャッシュサーバのDNS検索を盗聴し偽装応答を返す– キャッシュサーバに問い合わせを送り、IDを変化させた複数の偽装応答を返す(オープンリゾルバは非常に危険)

– TTLの短いレコードを狙って、キャッシュサーバに偽装応答を送り続ける

– etc...

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

16Copyright © 2008 株式会社日本レジストリサービス

偽装応答型の攻撃

• ③より先に⑤の偽DNS応答が送り込まれると、キャッシュサーバは嘘情報をキャッシュする

• ④で嘘情報をクライアントに送り、クライアントは偽のサイトへ誘導される

①www.jprs.co.jpのAは?

②nsにwwwのAをID 123で問い合わせ

③ nsからID 123でwwwの202.11.16.167を返す

④回答

⑤偽装DNS応答ソースアドレスをnsに偽造し、ID 123でwwwの192.0.2.10(嘘の値)を送り込む

権威サーバns.jprs.co.jp

キャッシュサーバ

攻撃者

ユーザ

Page 9: Kaminsky Attackの全て - Japan Network Information … Attackの全て Kaminsky Attack解説と対策(前編) DNS DAY ~利用者を守れ~ Internet Week 2008 民田雅人 株式会社日本レジストリサービス

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

17Copyright © 2008 株式会社日本レジストリサービス

偽装応答型の攻撃が成功する確率

問い合わせと応答のIDが一致すれば攻撃が成功

攻撃1回あたりの成功確率

R: 攻撃対象1台あたりに送るパケット量(pps)W: 攻撃可能な時間(Query⇒AnswerのRTT)N: 攻撃対象レコードを保持する権威サーバの数

Port: キャッシュサーバのQuery portの数ID: DNSのID (16bit = 65536)(R 20000pps, W 10ms, N 2, Port 1で 0.00152)

IDPortN

WRPS ××

×=

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

18Copyright © 2008 株式会社日本レジストリサービス

偽装応答型による攻撃の特徴

• 成功確率は決して低いとは言えない• しかし1度攻撃に失敗すると、キャッシュサーバが正規のレコードをキャッシュするため、連続した攻撃はできない

– 攻撃に失敗した場合、次の攻撃まで攻撃対象レコードのTTL時間待つ必要がある

Page 10: Kaminsky Attackの全て - Japan Network Information … Attackの全て Kaminsky Attack解説と対策(前編) DNS DAY ~利用者を守れ~ Internet Week 2008 民田雅人 株式会社日本レジストリサービス

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

19Copyright © 2008 株式会社日本レジストリサービス

Kaminsky型の毒入れ攻撃手法

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

20Copyright © 2008 株式会社日本レジストリサービス

Kaminsky型の毒入れ攻撃

• 攻撃者がキャッシュサーバに、攻撃対象レコードと同じドメインの存在しない名前を検索させ、追加セクションに攻撃対象レコードを設定した偽装応答をIDを変化させながら大量に送る(偽装応答型の一種)

• www.example.jpの偽IPアドレスをキャッシュさせる‒ 問い合わせno0000.example.jp. A

‒ 偽装応答;; 回答セクションno0000.example.jp. A 192.0.2.1;; 権威セクションexample.jp. NS www.example.jp.;; 追加セクションwww.example.jp. A 192.0.2.10

Page 11: Kaminsky Attackの全て - Japan Network Information … Attackの全て Kaminsky Attack解説と対策(前編) DNS DAY ~利用者を守れ~ Internet Week 2008 民田雅人 株式会社日本レジストリサービス

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

21Copyright © 2008 株式会社日本レジストリサービス

Kaminsky型と他の方式の比較

• Kashpureff型との比較– 追加セクションを利用する点は同じ– Kashpureff型は現在の実装では外部名のため無視されるが、Kaminsky型は内部名となるため、キャッシュ対象となる

• 従来の偽装応答型との比較– Kaminsky型は存在しない名前を使用するため、攻撃に失敗してもクエリ名を変えることで、TTLに関係なく連続した攻撃が可能no0000.example.jp, no0001.example.jp, no0002.…

Kaminsky型の攻撃はほぼ100%成功する

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

22Copyright © 2008 株式会社日本レジストリサービス

Kaminsky型攻撃の対策

• 問い合わせポートのランダム化– キャッシュサーバの問い合わせポートが固定だったものを、問い合わせ毎にランダムに変化させる

– 攻撃成功確率を約1/65000に低減できる

• 対処療法ではあるが、実用上問題無い

攻撃1回あたりの成功確率

6553665000655361 ×××

=⇒×××

=N

WRP

N

WRP SS

Page 12: Kaminsky Attackの全て - Japan Network Information … Attackの全て Kaminsky Attack解説と対策(前編) DNS DAY ~利用者を守れ~ Internet Week 2008 民田雅人 株式会社日本レジストリサービス

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

23Copyright © 2008 株式会社日本レジストリサービス

キャッシュ済みのレコードはKaminsky型の攻撃で上書きできるのか

• 攻撃対象はWEBサーバなどのIPアドレス– キャッシュサーバがこのようなレコードをキャッシュしている場合、通常、権威サーバからの正式な回答でレコードを得ている

– Kaminsky型では、追加セクションにレコードを設定する

• 権威サーバからの正式な回答の方が高ランク– RFC2181 「5.4.1 Ranking data」より

– RFCに忠実に実装してあれば、キャッシュデータの上書きは行わない(BIND 9等)

– RFC通りに実装していない場合、上書きの可能性がある

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

24Copyright © 2008 株式会社日本レジストリサービス

まとめ

• Kaminsky型の攻撃は、ブルートフォースアタックによる毒入れ攻撃手法

• 未対策かつオープンリゾルバは極めて危険– 第三者が自由に攻撃をしかけられる

– 攻撃対象レコードをキャッシュしていなければ、ブロードバンド回線を使うと10数秒もあれば攻撃が成立

• 毒入れはDNSプロトコルそのものが持つ脆弱性– UDPを使う、IDが16bitしかない、etc…

• 完全対処にはプロトコルの拡張等が必要– DNSSEC、 etc...

Page 13: Kaminsky Attackの全て - Japan Network Information … Attackの全て Kaminsky Attack解説と対策(前編) DNS DAY ~利用者を守れ~ Internet Week 2008 民田雅人 株式会社日本レジストリサービス

JAPAN REGISTRY SERVICESJAPAN REGISTRY SERVICES

25Copyright © 2008 株式会社日本レジストリサービス

Q and A


Passive DNS Hardening - DEF CON · Kashpureff poisoning Kaminsky poisoning Kaminsky poisoning I 2008: Dan Kaminsky notices that the TTL can be bypassed. I Coordinated, multi-vendor

Passive DNS Hardening - DEF CON · Kashpureff poisoning Kaminsky poisoning Kaminsky poisoning I 2008: Dan Kaminsky notices that the TTL can be bypassed. I Coordinated, multi-vendor

Bh usa-01-kaminsky

Bh usa-01-kaminsky

[David Simchi-Levi, Philip Kaminsky, Edith Simchi-(BookFi.org)

[David Simchi-Levi, Philip Kaminsky, Edith Simchi-(BookFi.org)

DNS Poisoning: Developments, Attacks and Research Directionsgt-logo DNS Poisoning Attack Scenarios Vulnerability Analysis Remedies Traditional DNS Poisoning Kaminsky-Class Poisoning

DNS Poisoning: Developments, Attacks and Research Directionsgt-logo DNS Poisoning Attack Scenarios Vulnerability Analysis Remedies Traditional DNS Poisoning Kaminsky-Class Poisoning

Procurement and Outsourcing Phil Kaminsky kaminsky@ieor.berkeley.edu David Simchi-Levi Philip Kaminsky Edith Simchi-Levi.

Procurement and Outsourcing Phil Kaminsky [email protected] David Simchi-Levi Philip Kaminsky Edith Simchi-Levi.

Design for Supply Chain Management Phil Kaminsky kaminsky@ieor.berkeley.edu David Simchi-Levi Philip Kaminsky Edith Simchi-Levi.

Design for Supply Chain Management Phil Kaminsky [email protected] David Simchi-Levi Philip Kaminsky Edith Simchi-Levi.

MD5 To Be Considered Harmful (Someday) Dan Kaminsky.

MD5 To Be Considered Harmful (Someday) Dan Kaminsky.

Kaminsky - Mecânica Geral para Engenheiros

Kaminsky - Mecânica Geral para Engenheiros

Kaminsky & Reinhart, 2004

Kaminsky & Reinhart, 2004

Kaminsky Thesis Analysis of Stravinsky Part b

Kaminsky Thesis Analysis of Stravinsky Part b

Bh us-02-kaminsky-blackops

Bh us-02-kaminsky-blackops

Poison Over Troubled Forwarders: A Cache Poisoning Attack ...most influential case of forging attacks is the Kaminsky At-tack [53] in 2008, which affects nearly all software designed

Poison Over Troubled Forwarders: A Cache Poisoning Attack ...most influential case of forging attacks is the Kaminsky At-tack [53] in 2008, which affects nearly all software designed

Kaminsky - Mecânica Geral para Engenheiros.pdf

Kaminsky - Mecânica Geral para Engenheiros.pdf

Winning is Her Goal By Marty Kaminsky

Winning is Her Goal By Marty Kaminsky

Bh eu 05-kaminsky

Bh eu 05-kaminsky

Secrecy and the Constitutional Convention - Kaminsky

Secrecy and the Constitutional Convention - Kaminsky

MAX KAMINSKY PHOTOGRAPHY COLLECTION - …jazz.tulane.edu/sites/default/files/jazz/collections/files/Max... · MAX KAMINSKY PHOTOGRAPHY COLLECTION ... 1983- Jimmy Ryan’s Jazz Club,

MAX KAMINSKY PHOTOGRAPHY COLLECTION - …jazz.tulane.edu/sites/default/files/jazz/collections/files/Max... · MAX KAMINSKY PHOTOGRAPHY COLLECTION ... 1983- Jimmy Ryan’s Jazz Club,

Logistics Network Configuration Phil Kaminsky kaminsky@ieor.berkeley.edu David Simchi-Levi Philip Kaminsky Edith Simchi-Levi.

Logistics Network Configuration Phil Kaminsky [email protected] David Simchi-Levi Philip Kaminsky Edith Simchi-Levi.

Kaminsky reading guide

Kaminsky reading guide

Supply Chain Integration Phil Kaminsky kaminsky@ieor.berkeley.edu David Simchi-Levi Philip Kaminsky Edith Simchi-Levi.

Supply Chain Integration Phil Kaminsky [email protected] David Simchi-Levi Philip Kaminsky Edith Simchi-Levi.