いきなりすいません 本日は DNSSEC 2013 スプリングフォーラムですが DNSSEC の話はしません

Similar documents
ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

DDoS攻撃について

DNS誕生日攻撃再び

DNSとメール

Microsoft PowerPoint 版_Root_JPの状況.ppt

キャッシュポイズニング攻撃対策

DNSの負荷分散とキャッシュの有効性に関する予備的検討

Microsoft PowerPoint - DNSSECとは.ppt

情報処理学会研究報告 IPSJ SIG Technical Report Vol.2015-DPS-162 No.19 Vol.2015-CSEC-68 No /3/5 経路変更を用いた分散フィルタリングによる DNS amp 攻撃への対策手法の提案 桂井友輝 1 中村嘉隆 2 高橋修

Zone Poisoning

janog315-openresolver-5.pptx

金融工学ガイダンス

2014/07/18 1

BIND9.9から9.11へ移行のポイント(権威DNSサーバー編)

Microsoft PowerPoint attacktool.pptx

セキュアなDNS運用のために

学生実験 3 日目 DNS IP ネットワークアーキテクチャ 江崎研究室

PowerPoint プレゼンテーション

Microsoft PowerPoint - d1-大本 貴-DNSSECstatus_DNS-DAY [互換モード]

学生実験

Internet Initiative Japan Inc. プロトコルの脆弱性 ( 株 ) インターネットイニシアティブ 永尾禎啓 Copyright 2004, Internet Initiative Japan Inc.

(1) 鍵の更改 に追従するために 1 のソフトウェア ( 一般に BIND 又は Windows Server を利用 ) を最新版に更新する ( 今回の対策だけでなく 脆弱性への対応のためにも 最新版への更新は必須 ) 2 において DNSSEC のトラストアンカーの自動更新 の設定を行う 3

IP ( ) IP ( ) IP DNS Web Web DNS Web DNS DNS 利用者 1 利用者 2 東京都調布市の天気情報を応答 東京都調布市の天気を問い合わせ 北海道旭川市の天気を問い合わせ 北海道旭川市の天気情報を応答 Fig. 1 1 DNS サーバ 東京都調布市の天気情報 We

IPアドレス・ドメイン名資源管理の基礎知識

SOC Report

社外向けテンプレート(プロジェクタ用)

30分で学ぶDNSの基礎の基礎~DNSをこれから勉強する人のために~

amplification attacks とは 送信元を偽装した dns query による攻撃 帯域を埋める smurf attacks に類似 攻撃要素は IP spoofing amp 2006/07/14 Copyright (C) 2006 Internet Initiative Jap

Microsoft PowerPoint - DNS_BoF_SCS_ pptx

「DNSSECの現状と普及に向けた課題」

SOC Report

HDE Controller X 1-5. DNS サーバー

ドメイン ネーム システムの概要

Unboundの紹介

BIGLOBE クラウドホスティングネットワーク設定パッチインストール手順 (CentOS6) 1.1 版 (2017 年 12 月 11 日 ) ビッグローブ株式会社

Microsoft PowerPoint - IW2011-D1_simamura [互換モード]

あなたのDNS運用は 来るべきDNSSEC時代に耐えられますか

DNSSEC最新動向

DNSにおけるキャッシュ汚染攻撃

見抜く力を!データを見て対策を考える(権威サーバ)

DNSSEC性能確認手順書v1.2

キャッシュサーバの設定

Microsoft PowerPoint - private-dnssec

untitled

router_cachehit.eps

DNSのセキュリティとDNSに関する技術

enog-ryuichi

Microsoft PowerPoint - GTM_TB_Load_Balance.pptx

PowerPoint プレゼンテーション

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

PowerPoint Presentation

JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

IIJ Technical WEEK 2016 DNSのセキュリティにまつわるあれこれ

~IPv6 と DNS の正しい付き合い方~ IPv6時代のDNS設定を考える


DNS と blocking anti-blocking 要素技術 ( みえてしまう要素技術 ) 藤原和典 株式会社日本レジストリサービス (JPRS) Internet Week 2018, DNS Day 2018 年 11 月 29 日 Copyrigh

Microsoft PowerPoint - BIND9新機能.ppt

自己紹介 名前 : 一ノ瀬太樹 所属 : HASH コンサルティング株式会社 OWASP Japan プロモーションチーム OWASP ZAP ユーザーグループ脆弱性診断研究会 ( 管理者その 3) Perl 入学式 ( サポーター ) HASH Consult

情報通信の基礎

<4D F736F F F696E74202D DB A B C C815B E >

スライド 1

UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 All Rights Reserved, Copyright(C) NEC Corporation 2017 年 11 月 4 版

頑張れフォールバック

スライド 1

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

2

PowerPoint プレゼンテーション

DNS関連ホットトピックス

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

III 1 R el A III 4 TCP/IP プロトコルと 関連する各種上位プロトコルの基礎を学ぶ 具体的には 各プロトコルを実装したコマンド ( アプリケーションプログラム ) を実行し 各プロトコルの機能等を確認する また 同じプロトコルを実装したコンピュータ間では OS

1. Domain Name System DNS IP DNS DNS DNS Distributed Denial-of-Service Attack; DDoS [1] Open Resolver Project [2] DNS 53/UDP ,000 DNS S

Microsoft PowerPoint - internetweek2011-s03-4-public [互換モード]

NTMobile LAN NT- Mobile(Network Traversal with Mobility) [1] NTMobile LAN 2. NTMobile NTMobile NTMobile NTM IP DC(Direction Coordinator)

Microsoft PowerPoint - janog15-irr.ppt

NTT Communications PowerPoint Template(38pt)

大規模災害時における、DNSサービスの継続性確保のために

スライド 1

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ

ほっといたら IPv4 運用に影響する IPv6 の話 アンカーテクノロジー株式会社 國武功一

Knot DNS

untitled

インターネット協会迷惑メール対策委員会 インターネット協会は 2001 年に設立された財団法人 賛助会員 94 社 (2010 年 12 月 7 日現在 ) 迷惑メール対策委員会 2004 年に設立 メンバーは ISP の他 大学 企業関係者 それらにサービスを提供する SIer など 2005 年

DNSSEC導入に関する世界的動向

JPRS JANOG13 1. JP DNS Update 2. ENUM (ETJP) 3. JP ( ) 3 1. JP DNS Update

PowerPoint プレゼンテーション

経路奉行・RPKIの最新動向

目次 1. 概要 問題点 DDoS 攻撃事例から見る脅威 海外の事例 国内の事例 脅威のメカニズム UDP パケットの送信元詐称を用いた DDoS 攻撃

Catalyst 3750 シリーズ スイッチでの ISE トラフィック リダイレクション

本資料について

untitled

注意事項 本文書は 2014 年 10 月 15 日時点で公開されている脆弱性情報にもとづいて作成されています 脆弱性の影響を受ける条件 改善策及び回避策等は公開情報をもとに記載しており 今後新 たに公開される情報により変更される可能性がありますのでご注意ください 目 次 1. 脆弱性の概要...

CDNを最大限活用する為の ZenlogicCDN導入チェックリスト

ENMA とは 送信ドメイン認証の ( 受信側 ) 検証をおこなう milter Sendmail Postfix と連携動作 認証結果をヘッダとして挿入 認証結果ヘッダの例 Authentication-Results: mx.example.jp; spf=pass smtp.mailfrom=

自 己 紹 介 l Nominum 社 の 商 用 DNS,DHCPソフトウェアの 技 術 を 担 当 しています Nominumの 回 し 者 ではありません l l プライベート DNS(Nominum 除 く) unbound, PowerDNS, BIND10とたわむれています DNS 以

DNS (BIND, djbdns) JPNIC・JPCERT/CC Security Seminar 2005

R80.10_FireWall_Config_Guide_Rev1

正誤表(FPT0417)

Microsoft PowerPoint CIAJ-Expert-Knowledge-Seminar-JPNIC-soufu.pptx

P2P通信技術: BitTorrentプロトコルを用いた大容量データ配信

Transcription:

DNS Response Rate Limi0ng (DNS RRL) IIJ 山口崇徳

いきなりすいません 本日は DNSSEC 2013 スプリングフォーラムですが DNSSEC の話はしません

DNS amplifica0on a?ack 先日 重複をお許しください が出ましたね h?p://jprs.jp/tech/no0ce/2013-04- 18- reflector- a?acks.html JPRS だけでなく JPNIC JPCERT 警察庁などからも同様の注意喚起 DNS amp DNS リフレクター攻撃などとも呼ばれる 3 月の Spamhaus/Cloudflare 事件が記憶に新しいが 手法自体は古くから知られたもの JPRS のアナウンスは今回が初めてではない (2006/3/29) 以前 2ch もこれで落とされたらしい (2010/3/1) 公になっていないだけで 日常茶飯事

復習 : DNS amp とは 攻撃者 問い合わせ ソースアドレス詐称サイズ小 DNS サーバ 応答 DNS は基本的に UDP UDP はアドレス詐称が容易 少量のトラフィックを送るだけで 被害者のネットワーク帯域を飽和させることができる botnet を使うとより効率的 詐称されたアドレス宛サイズ大 被害者

DNS amp の踏み台となる条件 アドレス詐称しやすい UDP で かつ応答パケットが大きくなる 必ずしも DNS である必要はない 理屈の上では SNMP amp とかも可能 これまではキャッシュ DNS サーバが踏み台に多く使われた オープンリゾルバは大きな情報を外部から容易にキャッシュさせることができる 権威 DNS サーバは外部から情報をいじれない 近年 DNS の応答サイズは増大傾向 SPF DKIM そして DNSSEC わざわざ外部から仕込まなくても 権威 DNS サーバの側で勝手に大きな情報を登録してくれる DNSSEC な権威サーバは DNS amp の踏み台に利用しやすい

踏み台にされないようにするには キャッシュ DNS サーバは 組織内部から利用できればよい 外部からアクセスできないように制限する RFC5358: Preven0ng Use of Recursive Nameservers in Reflector A?acks 権威 DNS サーバは世界中からアクセスできなければならない アクセス制限できない どうしよう?

権威サーバの amp 対策 権威 DNS サーバに問い合わせてくるのはキャッシュ DNS サーバ ひとつのキャッシュ DNS サーバの下にユーザがたくさん ひとつのキャッシュサーバから大量の問い合わせがやってるくること自体は異常ではない 問い合わせの数で制限するのは危険 キャッシュサーバとはキャッシュするサーバである キャッシュが生きている間は 同じことを権威サーバに問い合わせてくることはないはず 短時間に同じ問い合わせが大量にやってくるのは異常 こいつを止めてやればいいんじゃね?

Response Rate Limi0ng ということで 本来ならキャッシュしてるはずの情報を何度も何度も繰り返し聞きにきてないかチェック そういうものがあれば 攻撃とみなして応答を制限する 詐称されたアドレスに大きな応答を返さなくなる キャッシュ DNS サーバで RRL を導入するのは危険 キャッシュサーバのクライアントはキャッシュ機能を持たないものが多いので 何度も同じ名前を聞きにくることは異常とはいえない

Query Rate Limi0ng じゃないの? はい response rate なんです 単位時間あたりの 応答数 を制限する 問い合わせそのものを制限するのではなく その問い合わせ内容を調べた上で 応答について制限する どう違うの? example.com/any の問い合わせを大量に受けて DNS amp が疑われる場合に これに対する応答は制限しつつも www.example.com/a に対してはちゃんと応答する 1.example.com 2.example.com 3.example.com のような 問い合わせる名前を毎回変えながら攻撃するような場合にも対処 ワイルドカードの問い合わせや NXDOMAIN で大きな応答を返すのを抑制

RRL の実装 BIND 9.7 9.9 に対する ( ほぼ公式の ) パッチ NSD h?p://ss.vix.su/~vjs/rrlrpz.html RHEL6 の RPM は適用済み (RHSA- 2013-0550) BIND 9.10 BIND 10 で正式採用予定 3.2.15 で対応 configure - - enable- ratelimit KnotDNS CZ NIC が開発してる権威 DNS サーバ 1.2.0- rc3 で対応

RRL 発動時の挙動 設定した response rate を越えて問い合わせが来た場合 応答を返さない だけではない 1/2 の確率で応答を返す (SLIP) が 通常の応答ではなく TC(truncated) ビットを on にして応答する TC = TCP で問い合わせをやりなおせ アドレス詐称していないホストが RRL で誤爆されたとしても 何度かリトライして slip した応答を受けとれれば TCP で名前解決可能 TCP は詐称困難なので RRL の制限対象外 slip 応答は問い合わせパケットと同じサイズ ( 増幅しない ) BIND + rrl patch では slip する確率を設定で変更可能 NSD は変更不可

デモ RRL が有効な権威 DNS サーバに同じ問い合わせを大量に投げてみるよ! アドレス詐称まではしませんが 制限される様子は観察できます

RRL の導入効果 h?p://lists.redbarn.org/pipermail/ratelimits/2012- December/ 000144.html より Affilias (.org や.info のレジストリ ) の実測値 outbound が max 2.3Gbps 70Mbps

注意点 (1) amp 攻撃そのものを抑止するものではない RRL の制限発動までは増幅された応答を詐称アドレスに返す RRL 発動後も ( 増幅はしないけど )slip 応答は返す 制限対象は IP アドレスごとではなく ネットワークごと v4 は /24 v6 は /56 (BIND + rrl patch; 設定で変更可 ) v4 は /24 v6 は /64 (NSD; 設定で変更不可 ) DNS amp はホストの脆弱性を突くのではなく ネットワーク帯域を埋めるのが目的の攻撃なので 防御もネットワーク単位でおこなう必要がある 同じ /24 の範囲内にキャッシュサーバが複数あると 同時に制限対象になってしまう

注意点 (2) 負荷上昇 応答レートを常に記録しておく必要があるので amp 攻撃がおこなわれていないときでも常時数 % のパフォーマンス低下 パラメータチューニング 設定値が不適切だと 詐称してないクライアントを制限したり 逆に amp をまったく防がなかったりすることもありうる のだが どの程度の値が適切かという知見の集積が少ない 考えなしに実施するとよろしくない

で RRL でハッピーになれるの? うーん 大きな応答を返す 1 万台の権威サーバのそれぞれに対して 1query/sec で詐称クエリを投げると 個々の権威サーバから見ればクライアントあたり 1qps でしか問い合わせが来ないので RRL は発動しない が 全体では 1 万 qps 大きな応答を返す権威サーバを大量に用意することができれば RRL を回避しつつ十分な威力で amp 攻撃できる DNSSEC が普及すればするほど amp に適した権威サーバも増える RRL は一時しのぎにしかならない 次の対策を考えておく必要がある 根本的には BCP38 (RFC2827) Network Ingress Filtering の実施

まとめ DNS amp 対策が必要なのはキャッシュ DNS サーバだけではない DNSSEC は権威サーバでも大きな応答を返して増幅率が大きくなるので amp の踏み台に利用しやすい RRL を導入することで amp を軽減できる 単位時間あたりの同一応答数を制限 amp を防止するわけではない 根本的解決ではない RRL を回避する攻撃も想定される BCP38 を実施して詐称アドレスを拒否する キャッシュ DNS に対する amp 攻撃や TCP SYN flood 攻撃にも効果あり h?p://www.bcp38.info/

( 参考 ) DNS Dampening もうひとつの DNS amp 対策手法 h?p://lutz.donnerhacke.de/eng/blog/dns- Dampening クライアントごとにペナルティポイントを計算 問い合わせタイプごとにポイント加算 (ANY を聞いてきたら xx 点 ) 応答サイズによってポイント加算 一定時間経過ごとにポイント減算 ポイントが一定値を越えたら問い合わせを捨てる RRL より誤爆しやすいが 問い合わせる名前を変えながらの amp 攻撃に強い BIND 用 patch あり h?p://altlasten.lutz.donnerhacke.de/mitarb/lutz/bind- 9.9.2- dampening.patch

参考 URL Response Rate Limi0ng in the Domain Name System (DNS RRL) h?p://www.redbarn.org/dns/ratelimits DNS Response Rate Limi0ng (DNS RRL) h?p://ss.vix.su/~vixie/isc- tn- 2012-1.txt DNS Response Rate Limi0ng as implemented in NSD h?p://www.nlnetlabs.nl/blog/2012/10/11/nsd- ratelimit/ Defending against DNS reflec0on amplifica0on a?acks h?p://www.nlnetlabs.nl/downloads/publica0ons/report- rrl- dekoning- rozekrans.pdf DNS Rate Limi0ng h?p://www.guug.de/veranstaltungen/ffg2013/talks/ DNS_Rate_Limi0ng Ma?hijs_Mekking.pdf Defending against DNS Amplifica0on A?acks h?ps://indico.dns- oarc.net/indico/getfile.py/access? contribid=4&resid=0&materialid=slides&confid=0

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック