DNS誕生日攻撃再び - PDF 無料ダウンロード

これでいいのか TTL 短い DNS TTL のリスクを考える 2007 年 1 月 26 日民田雅人株式会社日本レジストリサービス JANOG 19@ 沖縄県那覇市

DNS プロトコルのおさらい (1/2) 問合せと応答の単純な往復この名前の IP アドレスは? IP アドレスは XXXX だよトランスポートは主に UDP 条件によって TCP になることもある問合せパケット応答パケット ID: クエリ名 +ID+etc... クエリ名 +ID+ 回答 +etc... 識別のための 16bit の値 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 2

DNS プロトコルのおさらい (2/2) 1www.janog.gr.jp の A は? 2ns0 に www の A を ID 123 で問い合わせ ns0.janog.gr.jp 4 回答キャッシュサーバ 3 ns0 から ID 123 で www の 210.150.17.51 を返すキャッシュサーバは応答パケットをソースアドレスクエリ名 ID で識別 ID が違えば別の応答と判断クライアントとキャッシュサーバ間 (1 と 4) も同様 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 3

毒入れ攻撃とは DNS Cache Poisoning 攻撃 DNS キャッシュサーバに嘘の情報をキャッシュさせる毒入れされた DNS サーバを使うユーザは別のサイトに誘導されてしまう Phishing の可能性! 攻撃手法は二通り 1. 正規の応答パケットに嘘の情報を仕込む 2. 嘘の応答を正規の応答より先に返す今回の話題! 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 4

キャシュサーバへの毒入れ 1www.janog.gr.jp の A は? 2ns0 に www の A を ID 123 で問い合わせ ns0.janog.gr.jp 4 回答キャッシュサーバ 3 ns0 から ID 123 で www の 210.150.17.51 を返す 5 偽 DNS 応答ソースアドレスを ns0 に偽造し ID 123 で www の 192.0.2.10( 嘘の値 ) を送り込む攻撃者 3 より先に 5 の偽 DNS 応答が送り込まれるとキャッシュサーバは嘘情報をキャッシュする 4 で嘘をクライアントに送るクライアント PC は偽のサイトへ誘導される 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 5

毒入れ攻撃の古典的手法 1. オープンなキャッシュサーバに大量のリクエストを出す 2. 同じサーバに対して偽装した DNS 応答パケットを ID をランダムに変えながら送るクエリ名とソースアドレスは自明 3. ID が正規応答と一致すれば攻撃が成功 2 コンテンツサーバキャッシュサーバ 1 攻撃者 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 6

DNS プロトコルの脆弱性 CERT VU#457875 で警告 2002 年 11 月初出参考 :http://www.kb.cert.org/vuls/id/457875 ソースアドレスを偽装しやすい DNS は UDP を主に使う ID は 16bit しかない意外に当たりやすいいわゆる誕生日のパラドックスを利用した誕生日攻撃による毒入れができてしまう 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 7

参考 : 誕生日のパラドックスある場所に 23 人いたこの中で同じ誕生日の人がいると思う人の問いに対してのどちらに答えるべきか? を答えたほうが当たる可能性が高い 23 人いると確率が 0.5 を超えるここでのパラドックスは矛盾ではなく直感的な感覚と合わないという意味誕生日攻撃 - Birthday Attack 誕生日のパラドックスを利用した攻撃手法 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 8

誕生日攻撃による毒入れ各 DNS RR( リソースレコード ) の TTL が短いとキャッシュサーバの問合せ頻度は高くなる TTL が 86400 秒 1 日に 1 回問い合わせ TTL が 30 秒 1 日に 2880 回問い合わせ気長に嘘の DNS 応答をキャッシュサーバに送り続ければそのうち当たるそのうちが意外に短い 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 9

攻撃のストーリアクセスが多く TTL が短いドメイン名を狙うどこのキャッシュサーバでもかまわない誰が使っていようとかまわないユーザは多いほどよい気が付かれないようにこっそりと攻撃したい同時に複数のキャッシュサーバへ嘘の応答を定期的に送り続ける時間の問題でどこかのキャッシュサーバへの毒入れが成功する 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 10

あるキャッシュサーバへ毒入れが成功する確率 P R W = S N Port ID R: 攻撃対象 1 台あたりに送るパケット量 (pps) W: 攻撃可能な時間 (Query AnswerのRTT) N: 攻撃対象レコードを保持するコンテンツサーバの数 Port: Query portの数 (BINDの場合固定なので1) ID: DNSのID (16bit = 65536) 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 12

2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 14 毒入れが 1 回でも成功する確率 ( ) TTL T V TTL T V A V A ID Port N W R ID Port N W R P P = = = 1 1 1 1 1 1 1 1 A: 攻撃数 (=T/TTL) T: 攻撃時間 TTL: DNS レコードの TTL

www.janog.gr.jp の例 TTL 86400 秒 Authoritative Server 1 台 1 台あたりの攻撃レート 10pps 攻撃対象のキャッシュサーバ 1000 台 RTT( とりあえず10msと仮定 ) 10ms 確率 0.5 を超えるまでの時間約 15 ヶ月 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 16

www.janog.gr.jp で仮に TTL を 30 秒にすると TTL 30 秒 Authoritative Server 1 台 1 台あたりの攻撃レート 10pps 攻撃対象のキャッシュサーバ 1000 台 RTT( とりあえず10msと仮定 ) 10ms 確率 0.5 を超えるまでの時間約 3.8 時間攻撃に必要な総帯域約 6.5Mbit/sec 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 17

DNS レコードの TTL の分布 ( 総数に対する ) 頻度 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 600 秒 (10 分 ) 以内 9% 3600 秒 (1 時間 ) 以内 34% 1 10 100 1000 10000 100000 1E+06 1E+07 TTL( 秒 ) 86400 秒 (1 日 ) 以内 97% 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 19

著名サイトってどうよ? ドメイン名 TTL NS 数確率 0.5 超までの時間??????.com 86400 3 3.8 年????.jp 600 2 7 日 www.???.net 300 2 76 時間 www.??????.co.jp 60 4 30 時間 www.?????.com 60 2 16 時間 www.??????.co.jp 300 7 12 日 www.????.jp 30 2 8 時間 www.??????.ne.jp 86400 2 2.5 年 www.???????.com 300 2 76 時間 www?.???.or..jp 20 8 21 時間 10pps で 1000 台のキャッシュサーバを同時に攻撃 RTT は 10ms で計算 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 20

スタッフとかスポンサーとかドメイン名 TTL NS 確率 0.5 超までの時間????.jp 86400 3 3.8 年 www.??????.co.jp 300 5 8 日 www.??????.net 3600 3 57 日 www.???.ad.jp 20 8 21 時間 www.???.ne.jp 300 2 76 時間 www.???????.co.jp 60 4 30 時間 www.?????.co.jp 300 2 76 時間??.??????????.org 3600 3 57 日計算条件は前スライドと同じ 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 21

CDN 屋さんの気持ち (Contents Distribution Network) TTL が短い代表選手落ちてたからユーザさんを逃しましたではいけないキャッシュなんかせずに毎回必ず聞き直しに来いいつでもお前 (SrcIP アドレス ) に最適な IP アドレスを教えてやるぜ 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 22

それでもあなたは短い TTL で運用しますか?

おわりに

問題の本質 ID が 16bit しかない DNS プロトコルの問題もし ID が 32bit やそれ以上であれば攻撃困難キャッシュサーバのクエリポートが固定クエリポート固定の実装 BIND 系全て Windows の DNS サービス etc... クエリポートが動的に変わる実装 ( 攻撃困難 ) dnscache (djbdns) PowerDNS recurser 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 28

根本解決のために Ingress Filter の導入 (BCP38 RFC2827) インターネットに対してソースアドレスに嘘をついたパケットを送出できなくする ( さまざまな攻撃を防止できるようになる ) DNSSEC の導入 DNS の応答パケットが正式のものか虚偽のものかを判断でき虚偽の応答を捨てることができる 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 29

参考文献と IETF の動き draft-ietf-dnsext-forgery-resilience-00.txt 特定 (1 台 ) のキャッシュサーバを攻撃した場合について記述してあるキャッシュサーバのクエリポートは動的に変わるように実装するべきであるという方向へ 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 30

Acknowledgements This presentation is included the research activities founded by National Institute of Information and Communications Technology (NICT). Special Thanks to Information Sharing Platform Lab. NTT and Staff of JANOG 19 2007-01-26 これでいいのか TTL Copyright 2007 Japan Registry Services Co., Ltd. 31