DNSにおけるキャッシュ汚染攻撃

Size: px

Start display at page:

Download "DNSにおけるキャッシュ汚染攻撃"

けんじみおか
5 years ago
Views:

1 SPN セキュリティ技術解説セミナー DNS におけるキャッシュ汚染攻撃 2008 年 10 月 25 日 ( 土 ) 2008 年 11 月 3 日改訂塩月誠人 <mshio@sec-pro.net> 合同会社セキュリティプロフェッショナルズネットワーク

2 本セッションの概要 DNS はインターネットを利用する際に誰もがお世話になる非常に基本的なサービスですそのため DNS サーバにおけるセキュリティ侵害は多くのインターネット利用者に重大な影響を与えかねません中でも DNS キャッシュの汚染は効果的なファーミング攻撃手法として特に近年注目されています本セッションではこの DNS キャッシュ汚染が発生する仕組みについてクエリ ID の予測バースデイアタック古典的キャッシュ汚染攻撃 (Ka shpureff Attack) Kaminsky's Attack といった手法を例に挙げ解説するとともにその対策方法について考察します 2

3 DNS とは DNS Domain Name System 平たく言うとホストの名前と IP アドレスを関連付ける仕組み名前の例 IP アドレスの例名前から IP アドレスを調べる正引き IP アドレスから名前を調べる逆引き組織内の DNS サーバインターネット上の DNS サーバ群 3

4 DNS の階層構造ルート "." arpa mil edu org com jp in-addr co ad ac or 218 example 45 www www2 4

5 DNS における名前解決の仕組みルート DNS サーバ権威の委任 net の NS 反復的問い合わせ Iterative Query ドメイン net DNS サーバ権威の委任ドメイン sec-pro.net DNS サーバ sec-pro.net の NS キャッシュDNSサーバ組織内 DNSサーバ権威 DNS サーバ cache 再帰的問い合わせ Recursive Query 5

6 一般的な DNS の問題点情報の漏洩 BIND バージョン情報の取得 (BIND に固有の問題 ) ゾーン転送情報の改竄不正な情報の挿入ダイナミックアップデート偽造 DNS リプライの挿入 DNS キャッシュの汚染外部からの再帰的問い合わせ資源の浪費 (CPU キャッシュ ) 各種 DNS サーバ攻撃の助長 Pharming 攻撃に利用その他 DNS サービスのバグによる各種脆弱性を利用した攻撃 ( サービス妨害不正コードの実行 ) 6

7 Pharming の脅威 Phishing エサ ( 電子メール等 ) を使って一本釣り Fishing( 釣り ) から派生した造語不正な電子メール等を用い犠牲者を偽サイトに誘導 Pharming タネ ( 不正な名前解決 ) をまいて一気に収穫 Farming( 農場経営 ) から派生した造語ホストの名前解決の仕組みを不正に操作しその仕組みを利用する犠牲者すべてを偽サイトに誘導 DNS の情報を不正に操作いずれも主としてオンライン詐欺 ( カード番号やパスワード等の不正取得 ) に利用 Pharming の方が効率的かつ効果的 The Pharming Guide 7

8 Pharming の概念不正に介入攻撃者 WWW. 銀行.JP DNS による名前解決クライアント偽の銀行 Web サイト本物の銀行 Web サイト

9 各種 Pharming 手法ホストファイルの改ざん DNS リプライの詐称クエリクエリリプライルート DNS サーバクエリリプライクエリ JP DNS サーバ不正なダイナミックアップデートドメイン名の乗っ取りクライアント参照ホストファイル (/etc/hosts 等 ) リプライキャッシュDNSサーバ参照格納キャッシュリプライ Kashpureff タイプのキャッシュ汚染 Kaminsky タイプのキャッシュ汚染銀行.JP DNS サーバ参照 DNS 設定情報不正侵入による DNS 設定情報の改ざん 9

10 DNS のキャッシュとはキャッシュ DNS サーバは問合せた結果のレコードを一定期間保持 DNS レコードのキャッシュ同じ問合せに対してキャッシュに保持されたレコードを返すことでレスポンス時間を短縮ネットワークトラフィック等の資源を節約キャッシュの情報が汚染される ( 誤った情報がキャッシュされる ) とそのキャッシュ DNS サーバに問合せるすべてのホストが騙されるキャッシュに保持される期間は当該レコードの TTL 値に依存 TTL 値は権威 DNS サーバで定義通常は 1 日 (86400sec) に設定最近は短い値の場合も多い攻撃者はキャッシュ汚染時に自由な TTL 値を設定することが可能ただし実装によりキャッシュ保持時間の最大値が異なる (?) Windows Server 2003 DNS 86400sec (1 day) BIND sec (1 week) 10

11 キャッシュ汚染手法の分類 DNS リプライの詐称によるキャッシュ汚染偽のリプライを返すことで結果的にキャッシュを汚染いかにしてクエリ ID を合致させるかがポイント 1) MITM/ ネットワーク盗聴 2) ブルートフォース 3) クエリ ID 予測 4) バースデイアタック Kashpureff タイプのキャッシュ汚染 DNS リプライに権威外のレコードを入れて返すことでキャッシュを汚染古典的キャッシュ汚染手法 (1997 年 2005 年にインターネット上で攻撃 ) Kaminsky タイプのキャッシュ汚染リプライ詐称を効率的に実行し権威の委任を利用して偽情報を入れる 2008 年に Kaminsky 氏により発表同 7 月に各種 DNS サーバが一斉パッチ 11

12 DNS リプライの詐称によるキャッシュ汚染正常な DNS クエリとリプライドメイン sec-pro.net 権威 DNS サーバキャッシュ DNSサーバ cache 次の問い合わせにはキャッシュの情報を返す偽の DNS リプライの挿入ドメイン sec-pro.net 権威 DNS サーバ攻撃者偽造 DNS リプライキャッシュ DNSサーバ cache

13 DNS リプライの詐称が成功する条件 (1) DNS の応答パケットは基本的に UDP なのでトランスポート層での詐称は容易偽の DNS リプライを挿入するためには以下の条件が必要正規の DNS サーバからのリプライよりも先に送り込まなければならない正規の DNS サーバが遠い動作していない DOS でダウン成功率 UP 以下が正しいリプライパケットでなければならないソースおよびデスティネーション IP アドレスソースおよびデスティネーション UDP ポート番号クエリの内容クエリ ID IP アドレス? キャッシュ DNS サーバ / 権威 DNS サーバいずれも IP アドレスは既知 13

14 DNS リプライの詐称が成功する条件 (2) ポート番号? 権威 DNS サーバ側 53 番固定キャッシュ DNS サーバ側今年 7 月の一斉パッチ以前は多くの場合固定のため事前に問合せることで判明クエリの内容? 攻撃者が能動的に問合わせを発行すれば既知クエリ ID(Transaction ID)? DNS の問い合わせの識別子 (2 バイト 65,536 通り ) 古い BIND や NT4.0DNS(SP4 より前?) では連番だったため容易に予測可能であったが最近の DNS サービスは基本的にランダムなクエリ ID を使用ローカルネットワーク上では比較的容易に詐称可能 ( ネットワーク盗聴や MITM 攻撃を利用 ) 14

15 DNS リプライパケット IP Header UDP Header DNS Message src-ip dst-ip src-port dst-port ID QR Opcode AA TC RD RA Z RCODE QDCOUNT ANCOUNT NSCOUNT ARCOUNT HEADER QUESTION SECTION ANSWER SECTION AUTHORITY SECTION ADDITIONAL SECTION

16 クエリ ID によるリプライ詐称の防止 (1) C 権威 DNS サーバ QUERY ANSWER IP-B IP-C P-1138 P-53 QID: 5678 IP-C IP-B P-53 P-1138 QID: 5678 一致!! B キャッシュ DNS サーバ QUERY IP-A IP-B P-1024 P-53 QID: 1234 ANSWER 一致!! IP-B IP-A P-53 P-1024 QID: 1234 A クライアント 16

17 クエリ ID によるリプライ詐称の防止 (2) C QUERY 権威 DNS サーバ IP-B IP-C P-1138 P-53 QID: 5678 B QUERY IP-A IP-B P-1024 P-53 QID: 1234 A X 攻撃者不一致!! ANSWER IP-C IP-B P-53 P-1138 QID: 9999 Х キャッシュ DNS サーバクライアント Query ID を正しく推測しなければ偽造 DNS リプライは挿入できない 17

18 偽造リプライ挿入の確率キャッシュ DNS サーバが偽造リプライを受付ける確率は R * W P_s = N * P * I R: 偽造リプライパケットの送出レート (pps) つまり一秒に何発打てるか W: 窓が開いている秒数 (s) つまり正規リプライが返るまでの時間 N: 対象ドメインの権威 DNS サーバの数 P: キャッシュサーバのポート番号がとりうる値の数 (1~64,000 程度 ) I: Query ID のとりうる値の数 (16bit つまり 65,536 ) R=5000, W=0.1, N=2, P=1, I=65536 として 0.4% 程度の確率 18

19 クエリ ID 予測による DNS リプライの詐称 (1) 以下の DNS サーバのクエリ ID は容易に予測できることが 2007 年に公開 BIND8(8.4.7-P1 にてフィックス ) BIND9(9.2.8-P1, P1, P1, 9.5.0a6 にてフィックス ) Windows 2000 Server/Windows Server 2003(MS にてフィックス ) 攻撃者の管理する DNS サーバに問い合わせを発行させそのクエリ ID を基にして次のクエリ ID を予測し偽造 DNS リプライを挿入 19

20 クエリ ID 予測による DNS リプライの詐称 (2) ドメイン sec-pro.net 権威 DNS サーバ攻撃者ドメイン attacker.dom の権威 DNS サーバ QID:XXX 攻撃者 QID をサンプリングして次の QID を予測 QID:YYY aaa.attacker.dom? aaa.attacker.dom? 偽造 DNSリプライ QID:YYY キャッシュ DNSサーバ cache

21 バースデイアタックによる DNS リプライの詐称 (1) バースデイパラドックス人が 23 人集まると同じ誕生日同士の人が存在する可能性は 1/2 を超え 60 人も集まると確実に存在するという確率論つまり自分と同じ誕生日の人を探すのは大変だが誕生日が同じというペアを探すのは容易 DNS のクエリ ID の場合 500 発程度のクエリおよび偽造リプライを送信することにより 80% 以上の確率でクエリ ID が合致 DNS Cache Poisoning - The Next Generation BIND9 では同時問い合わせを同時並行的に処理しないので安全 Windows DNS は MS 適用後同時並行的に処理しない 21

22 バースデイアタックによる DNS リプライの詐称 (2) ドメイン sec-pro.net DNS 権威サーバどれかの QID が ( たまたま ) 合致する攻撃者 QID QID 偽造 DNS リプライキャッシュ DNSサーバ cache

23 Kashpureff タイプのキャッシュ汚染手法 (1) キャッシュ DNS から攻撃者が管理する権威 DNS サーバへ問合わせをさせそのリプライに入れた権威外のレコードでキャッシュを汚染 CNAME や NS レコードを利用し ANSWER/ADDITIONAL セクションに挿入本来信用してはいけないレコードを信用してしまうといったキャッシュ DNS サーバの脆弱性を利用したもの脆弱な DNS サーバは権威外のレコードをキャッシュに保存古い BIND やデフォルトの NT4.0/2000 DNS (SP3 より前 ) は脆弱最新の Windows DNS でも設定によっては脆弱になるので注意 DNS キャッシュ機能はさまざまな製品 ( ルータゲートウェイ製品等 ) に含まれるが場合によってはそれらに脆弱性が存在 Windows DNS での対策 : DNS 設定の詳細プロパティで Pollution に対してセキュリティでキャッシュを保護するを設定 (2000 SP3 以降および 2003 ではデフォルト ) 23

24 Kashpureff タイプのキャッシュ汚染手法 (2) インターネットで発生した Kashpureff タイプのキャッシュ汚染攻撃 1997 年 7 月 : BIND4.9.6/8.1.1 より前のバージョンに脆弱性 AlterNIC(Eugene Kashpureff 氏 ) により多数の DNS サーバが攻撃へのアクセスが AlterNIC のサーバへ誘導 2005 年 3 月 ~4 月 : Windows NT/2000 Symantec ゲートウェイ製品の DNS 各種商用サイトのドメイン名がターゲット不正サイトにリダイレクト (Web FTP IMAP/POP ) 不正サイト上でスパイウェアを配布対策済みの Windows DNS でも BIND4/8 をフォワーダとして使っている場合は脆弱 24

25 Kashpureff タイプのキャッシュ汚染手法 (3) ドメイン sec-pro.net 権威 DNS サーバ攻撃者ドメイン attacker.dom の権威 DNS サーバキャッシュ DNS サーバ cache 攻撃者 25 aaa.attacker.dom CNAME A aaa.attacker.dom? aaa.attacker.dom? 権威外のレコード

26 フォワーダ経由でのキャッシュ汚染 (1) フォワーダ自分の代わりに名前解決してくれる DNS サーバ Windows DNS はフォワーダの設定をしている場合フォワーダからのリプライなら権威外レコードであっても受け入れる ( 仕様 ) つまり Pollution に対してセキュリティでキャッシュを保護すると設定していても Kashpureff タイプのキャッシュ汚染が発生以下の場合 Windows DNS に対するキャッシュ汚染が可能フォワーダ DNS に Kashpureff タイプのキャッシュ汚染脆弱性がある場合フォワーダ DNS が毒を浄化せずにリプライを戻す場合 (BIND8/4?) フォワーダ DNS を詐称してキャッシュ汚染攻撃された場合クエリ ID の推測が必要 ( バースデイアタックや総当り ) 解説ページ : indns_poison.txt 26

27 フォワーダ経由でのキャッシュ汚染 (2) ドメイン sec-pro.net 権威 DNS サーバ攻撃者ドメイン attacker.dom の権威 DNS サーバ攻撃者フォワーダ DNS サーバ aaa.attacker.dom? キャッシュ DNS サーバ cache aaa.attacker.dom? フォワーダ DNS からのリプライを詐称 aaa.attacker.dom CNAME A aaa.attacker.dom? リプライを返さないフォワーダ設定 Windows DNS はフォワーダからのリプライなら権威外のレコードでも受け入れる権威外のレコード

28 従来のキャッシュ汚染攻撃手法の欠点 DNS リプライの詐称によるキャッシュ汚染一度失敗すれば正規のレコードがキャッシュされキャッシュ保持中 (TTL 値の期間中 ) は攻撃できない効率的な攻撃が不可ある一定の期間 (T) 連続した攻撃で一度でも偽造リプライを受付ける確率は TTL の値に依存 T/TTL R * W P_cs = N * P * I R=5000, W=0.1, N=2, P=1, I=65536, TTL=86400(1 日 ) として 10 日で約 4% TTL が例えば 1 時間 (3600) だとすると 10 日で約 60% 20 日で約 84% Kashpureff タイプのキャッシュ汚染脆弱性を持つキャッシュ DNS サーバのみが攻撃対象攻撃対象が極めて限定 ( 設定を誤った Windows DNS 等 ) 28

29 Kaminsky タイプのキャッシュ汚染手法 (1) 2008 年になって Dan Kaminsky 氏が新しいタイプの DNS キャッシュ汚染手法を考案 DNS のもともとの設計による問題今まで考えられていたよりも容易にリプライ詐称が可能攻撃の機会は TTL 値に依存しない ( いつでもレースが開始できる ) BIND Windows DNS 等多くのターゲットに適用可能 DNS の下位ドメインに対する委任の仕組みを利用してキャッシュを汚染実装によっては既存レコードの上書きも可能 (Windows DNS A レコード ) 7 月に各種 DNS の実装が一斉にアップデートソースポートをランダマイズすることで攻撃成功の可能性を低減 29

30 Kaminsky タイプのキャッシュ汚染手法 (2) 基本はブルートフォース型 DNS リプライの詐称つまりターゲットのキャッシュ DNS サーバから権威 DNS サーバへの問い合わせに対するリプライを詐称ランダムなクエリ ID で多数の偽造リプライを返しどれかが当たるのを待つ存在しないホスト名をクエリに使用等の存在しないレコードをキャッシュ DNS サーバから権威 DNS サーバへ問い合わせさせる毎回クエリのホスト名を変えるため TTL 値に依存することなく何度でも連続してリプライ詐称をトライすることが可能 (001, 002, 003, 004,...) どのようにしてキャッシュを汚染するか? を偽 IP アドレスでキャッシュさせても意味がないやりたいことはを偽 IP アドレスでキャッシュ 30

31 Kaminsky タイプのキャッシュ汚染手法 (3) 手法その 1: 偽造リプライ中に委任先の NS レコードを入れることで参照先を変更例 1) NS ns.attacker.dom 例 2)sec-pro.net NS ns.attacker.dom それによりの問い合わせを攻撃者の DNS サーバへ誘導例 2 の場合は sec-pro.net ドメイン全体の乗っ取りが可能 BIND9.5.0-P2 および WS2K3/SP2(MS 適用済み ) で検証 ( いずれもソースポート固定に設定 ) 手法その 2: CNAME や NS レコードを利用してターゲット A レコードを直接挿入 / 上書き例 )001. CNAME/NS A WS2K3 DNS は CNAME を利用して A レコードの挿入および上書きが可能 BIND9.5.0-P2 は NS を利用して A レコード挿入が可能 31

32 Kaminsky タイプのキャッシュ汚染手法 (4) ドメイン sec-pro.net DNS 権威サーバどれかの QID が ( たまたま ) 合致攻撃者 QID NS ns.attacker.dom 偽造 DNS リプライ NS ns.attacker.dom QID 002. 偽造 DNS リプライキャッシュ DNSサーバ cache NS ns.attacker.dom 権威の委任により NS レコードがキャッシュ攻撃者ドメイン attacker.dom の権威 DNS サーバ 32

33 DNS キャッシュ汚染攻撃への対策 (1) ソースポートのランダマイズによりキャッシュ汚染成功率を下げる Kaminsky タイプのキャッシュ汚染攻撃が成功する確率 T R * W P_cs = N * P * I R=5000, W=0.1, N=2, P=1, I=65536 として 1 分間の攻撃で約 20% ソースポートのランダマイズ P=64000 とすると 10 日間の攻撃で約 5% 2008 年 7 月に各種 DNS の実装が一斉にパッチ提供ポートランダマイズ設定によってはランダム化しない場合もあるので注意例 ) BIND query-source port 53; ソースポートが固定化 NAT/NAPT 環境ではソースポートのランダム化効果がなくなる場合もあるランダム度のテスト ( dig +short porttest.dns-oarc.net TXT ソースポートのランダム度 dig +short txidtest.dns-oarc.net TXT クエリ ID のランダム度 33

34 DNS キャッシュ汚染攻撃への対策 (2) 外部からの再帰的問合せを禁止する攻撃者がインターネット経由で直接トリガーを引くことを抑制攻撃者再帰的問合せを拒否 Х キャッシュ DNSサーバ再帰的問合せを許可 cache 内部から強制的に再帰的問合せを発行させることもできるので注意が必要メールサーバに問合せを発行させる (mail from: 等 ) Webバグを使ってブラウザ / メールクライアントから問合せを発行外部からの再帰的問合せのテスト ( 34

35 DNS キャッシュ汚染攻撃への対策 (3) 同時並行的な連続問合せの制限 ( バースデイアタック対策 ) Windows DNS は Pollution に対してセキュリティでキャッシュを保護するを設定 (Kashpureff Attack 対策 ) パケットフィルタリングによるソース IP アドレス詐称の防止 DNSSEC の導入公開鍵暗号方式を利用しゾーンのリソースレコードに署名出所の認証と整合性チェックを提供問い合わせ側 ( リゾルバ ) はレコードの署名を確認することで偽造リプライ等によるキャッシュ汚染を回避し正しいレコードのみを受け入れる公開鍵を上位ドメインに署名してもうらことで信頼関係を構築インターネットで広く普及するにはしばらく時間がかかりそう SE( スウェーデン ): 対応中 ORG/GOV: 対応予定 DLV(DNSSEC Lookaside Validation) TLD が DNSSEC 化していない場合に DNSSEC 対応する技術 35

36 まとめ DNS キャッシュ汚染は極めて影響度の高い攻撃のため適切な対応が必要 DNS サーバの最新版へのアップデート設定の確認ルータやゲートウェイ製品の DNS キャッシュ機能にも注意クエリ ID およびソースポートのランダマイズによりリスクはかなり低減されるが所詮は確率の大小の問題外部からの再帰的問合せの禁止により攻撃の難易度は高まるが不可能ではない Kashpureff タイプの脆弱性は致命的特に Windows DNS は設定を確認 Windows DNS のフォワーダ経由でのキャッシュ汚染にも注意 Windows クライアントでもキャッシュ汚染が発生する可能性最終兵器は DNSSEC だが 36

学生実験

1 学生実験 5 日目 DNS IP ネットワークアーキテクチャ江崎研究室 DNS Domain Name System 2 インターネット上の名前解決を実現正引き www.ee.t.u-tokyo.ac.jp 157.82.13.244 逆引き 3 名前空間インターネットで唯一ドメイン = 名前空間内の範囲 www.ee.t.u-tokyo.ac.jp の場合. (root) com jp