
== DNS/毒盛/CNAME ==

'''''警告:CNAME返答を利用した毒盛攻撃に弱いリゾルバーがある。 '''''

 [[DNS/返答/CNAME返答]] [[CVE-2018-10920]] [[/確認]]  




 1. '''正当なゾーンサーバが返事に偽の情報を返すもの '''
 1. '''偽の返答としてCNAMEを受け取らせようとするもの '''
 1. '''偽返答でCNAMEの指す先に毒を盛るもの '''

こんな毒も可能なのか。-- ToshinoriMaeno <<DateTime(2019-03-21T10:29:49+0900)>>
Wrong DNS answer with CNAME and A Record at the same time
== CNAME返答中のAuthority Section (NS) でも毒盛 ==

== 対策案 ==
[[DNS/CNAMEレコードの非存在推定]] を用い、キャッシュを上書きしないという原則が重要だ。

対策1: Answer Sectionにあるレコードの検査; ownerがqnameに一致しないものは捨てる。
 . in-bailiwick検査では攻撃を排除できない。(キャッシュにあるNS/Aレコードを上書きされるかも)
  . 例えば、random名の先が返答サーバ守備範囲のゾーン内の名前を指していて、
   そのNSやAレコードが毒である場合。-- ToshinoriMaeno <<DateTime(2019-03-16T12:04:38+0900)>>


 . ではin-bailiwick検査しか考慮していない。

BIND 9.4.1 は毒盛されるとのこと(Hitchhiker's Guide)

参考: ../AncillaryDataAttacks

対策2: キャッシュされているレコードのownerと一致するCNAME返答は捨てるのがよい。
 . CNAMEレコードは他のタイプのレコードとは共存させてはならない。[[DNS/CNAMEレコードの非存在推定]] 
 . キャッシュにあるレコードを上書きすると毒盛される。(CNAMEに限らない)
 . CNAMEでは任意のレコードタイプを乗っ取れるので、危険性が大きい。

対策3: ネガティブキャッシングされているレコードのownerと一致するCNAME返答は捨てるのがよい。
 . [[DNS/返答/NoData返答]]がキャッシュにどう保存されているのか、どう使われるのか。[[DNS/RFC/2308]]

これらが攻撃手法のヒントになる危険性もあるが、警告しないのもまずいので、書いておく。 -- ToshinoriMaeno <<DateTime(2016-07-15T00:10:05+0900)>>

[[/防御]] /KnotResolver

=== Kaminsky 以前 ===
http://insecure.org/sploits/dns.cache-poison.cname.html  (1997)

Description:    You can poison DNS cache by returning a bogus IP as a CNAME for a real server.
Author: Johannes Erdfelt outlined this type of attack originally.
Compromise:     Subvert DNS
Vulnerable Systems:     Almost all current DNS servers, including bind 8.1 and M$ DNS
Date:   14 June 1997 (It was actually discovered in April, apparently)
RFC 2181 でCNAME毒について書いてあるという解釈もある。

=== Kaminsky ===

CNAME Records provide the “Canonical Name” for a server, and additionally the IP of that server

 * CNAME may be returned for any type
 * Additional IP may show up in Answer section, unclear if treated as an Answer though

These Imply A Series Of Attacks

 * MX records don’t get the ANSWER defense, so they’re easy to hit
 * CDN’s cause major sites to be hosted via CNAMEs, so they’re easy to hit
  . – www.google.com, www.whitehouse.gov, www.navy.mil
 •  Cached records need to expire eventually, so all names eventually fall to the NS attacks

== 別の例 ==
%dnsq a dns2.psn.jp

1 dns2.psn.jp:
110 bytes, 1+2+2+1 records, response, authoritative, noerror
query: 1 dns2.psn.jp
answer: dns2.psn.jp 7200 CNAME ns2.psn.jp
answer: ns2.psn.jp 7200 A
authority: psn.jp 7200 NS ns2.psn.jp
authority: psn.jp 7200 NS ns.psn.jp
additional: ns.psn.jp 7200 A
answer: ns2.psn.jp 7200 A を信用するかどうか。

== これまで ==

 . 「本来のanswerであるCNAMEレコードだけを受け入れる。他は捨てる。」のがよさそう。

 . in-bailiwick 検査は毒盛攻撃には対抗できない。

=== dnscache/djbdns ===

 . 簡単なパッチを入れたが、十分か。(CNAME返答をみたら、他は捨てるというもの) -- ToshinoriMaeno <<DateTime(2015-10-05T07:06:34+0900)>>

=== unboundの扱い ===
answer sectionのAは捨て、CNAMEの先を問い合せしなおす。

 . https://unbound.nlnetlabs.nl/pipermail/unbound-users/2015-September/004022.html

手元のunbound 1.5.5 はCNAME chain は8,9段で打ちきっている。

Unbound 1.0.2 Patch Announcement:

 . https://unbound.net/documentation/patch_announce102.html

CNAME chains are cut off, only the first CNAME is kept as answer.
The remaining CNAMEs or answer records are not kept, but looked up instead.
=== Knot resolver ===
CNAME毒盛攻撃が成立する。修正案を提案しておいた。 -- ToshinoriMaeno <<DateTime(2015-10-21T07:27:17+0900)>>

=== BIND ===

Named first parses the response to extract the records into RRsets.
  Responses with multiple CNAMES are detected at this point and get rejected.
  Named then tries to interpet the parsed message and once it has seen the CNAME and associated RRSIGs
 it stops processing the result and issues a new query for the target of the CNAME.
This is done to stop the cache being poisoned.


== pdns-recursor ==

== NS 攻撃? ==
Metasploit’s Bailiwicked_domain is thus, in the long term, much more effective than Bailiwicked_host


== 未読 ==
