【社会】そのDNSの応答は、本当に正しいものですか?

2008年7月、インターネット関係者を震撼させる発表が行われた。「カミンスキーメソッド
（カミンスキー氏の発見した攻撃手法）」と呼ばれるその手法を用いると、
無防備なキャッシュDNSサーバーに対して、高い成功率で偽の情報を書き込むことができてしまう。
偽の情報が書き込まれると、そのキャッシュDNSサーバーの利用者は、本来とは
違うサイトに誘導されてしまう危険性が出てくる。

「キャッシュポイズニング（キャッシュ汚染）」と呼ばれる攻撃手法は実は古くから
存在していたが、それまで大きな問題とはなっていなかった。なぜなら、従来の攻撃手法の
成功率は極めて低かったからである。ところが、カミンスキーメソッドの発見によって、
キャッシュポイズニング攻撃が現実のものとなってしまったのだ。

危機感を感じたインターネット関係者がその対応策として選んだのが、DNSの安全性を
高める技術の1つである「DNSSEC（DNS Security Extensions）」の導入である。
日本のドメイン名である「.jp」でも2011年1月に導入することが決まっている。

*+*+ Internet Watch 2010/10/06[07:37:58] +*+*
http://internet.watch.impress.co.jp/docs/special/20101006_398080.html

2なら俺のルーターがやばい！！

こここ怖いこと言うなよ
そそそそそそんな事有るわけななななないだろ

>>2
今すぐ窓から投げ捨てるんだ

いんたーねっとを止めて本を読めば安心だと思ったら
落書きされた（つд｀）

どんす？

＞「DNSSEC（DNS Security Extensions）」
DNSSEXにしてほしかった

ウイルスバスター使ってれば大丈夫？

ここが２ちゃんでないとすると、いったいここは何ちゃんねるなんだ！

hfghfghgf

>>9
お前が今見てる掲示板がアフィブログじゃないとどうやって証明する？

>>8
大丈夫じゃないのが怖いところ何だよな…
信頼できるはずのDNSサーバーに騙されるから

これは怖いな・・・

ネットワークに疎いヒト向けに簡単に解説すると、だな

ブラウザ等でURLを使ってWEBを見たりしている時、実際はそのURLはそれに紐付いたIPアドレスに変換される
変換後のIPアドレスにあるサーバーに対して、WEBページの情報やらメールの受信なんかを要求する訳ね
このURL→IPアドレスの変換を行っているのがDNS
つまり、こいつが間違った変換を行うとなると、amazon.comのURLをブラウザで叩くと、
表示されるのは詐欺業者のサーバーから返答されたWEBページでした、なんて事も可能になる

水曜８時にMSのアド変えて更新program壊せばいい

スマフォならGPSデータの偽装などお手の物。

>>13
分かりやすく怖いな

お前らアホだな
IP直打ちすればいいだけじゃん

Do Not Start

>>1
NGワードに放りこんでた「ミンス」がヒットしててワロタ

>>17
単一のウェブページを見るだけならまだしも
リンクを辿るうちにアウトになる。

そうだ、hostsに全部書いておこう！

ＤＮＳＳＥＣはこの攻撃にどうやって対応しているのですか？

分かりやすく解説するとだな

偽の電話帳をみて電話をかけたらヤクザが出たでござる
発信番号通知しててオワタ

>>13
DTI契約してた時にプロバイダ自らこれやってきたな
そして解約祭りになった

こんな世の中じゃ

デジタル・オレオレ詐欺？

この間見れないサイトあってIPアドレス引いてみたら192.168〜になってたんだけど
ただの設定間違えだったんかな

>>24
しかし逃げ出したダウソ厨は逆転サヨナラ負け

繋げども繋げどもwarezとかか？

>>24
元DTI仲間かｗ

yahooやamazonや２ちゃん見てて、リンククリックしたら突然DTIのお知らせページへ飛ばされてたよな。
あまりの酷さに苦情殺到して出さない設定を用意するが、それをしても出続けて本当に困ったもんだった。

この辺の問題が深刻になるようなら、セキュリティソフトで
いくらでも対応できるだろうな。

前に、どっかの国が不都合なサイトへの接続をさせないために故意にDNSデータ書き換えさせたら、
巻き添えで他の国のヤツも書き換えちゃってようつべにつながらなくなった事件があったような

アメリカも、著作権法違反してるサイトは強制的に遮断する法律を審議中らしい

はい、ここ来年の情報処理試験に出ますからね〜

現在のウイルスやネット詐欺的な物はアプリケーション層に近い
ソフトウエアプログラムで行われるものが大部分であり、非常に
目に見えやすい。
しかし、これはからはよりハードウエア的な結線に近い部分に働きかける
データー搾取、詐称などがより問題になっていくだろう。
現在明確な解決策のないこの問題は、ネット社会そのものが崩壊することになる
かもしれない危険性をはらんでいる

1 名前：うちゅ〜φ ★[sage] 投稿日：2008/02/25(月) 13:48:45 ID:???0
★YouTubeがダウン--原因はパキスタンでのアクセス遮断か

・YouTubeが米国時間2月24日に少なくとも40分間ダウンした。

　最初の障害は太平洋時間午前11時30分頃に発生し、午後12時15分には復旧している。

　同サイトではログオンでタイムアウトが発生していた。同社関係者への連絡は
　24日朝の段階ではとれなかった。

　一方、BBCは、YouTubeのアクセス障害について、パキスタン政府が同サイトへの
　アクセス遮断しようしたことが原因ではと報じている。YouTubeに多くの
　イスラム教徒を怒らせる内容の、預言者ムハンマドの漫画がYouTubeに掲載
　されたことから、パキスタンは同日、サイトへのアクセスを遮断した。

　BBCのウェブサイトで技術担当編集者を務めるDarren Watersは、パキスタン
　国内からのYouTubeへのアクセスを阻止するため、Pakistan TelecomがYouTubeの
　IPを乗っ取り、その情報を同国内ISPに通知してYouTubeへのクエリが
　リダイレクトされるようにしたようだ、と述べている。しかし、その詳細が
　アジアのISPであるPCCWから漏洩し、アクセス障害につながったようだ。

　YouTubeのエンジニアがPCCWに連絡をとり遮断を解除した、と同報道では述べている。

　「恐らくPakistan Telecomのエンジニアによる単純なミス」と、
　ある匿名の「主要なネット専門家」がBCCに語っている。「悪意が
　あったことを示唆するものは何もない」という。

ソース/CNET Japan
http://japan.cnet.com/news/media/story/0,2000056023,20368032,00.htm

>>31
セキュリティソフトで対応するとしたら、世界中のドメイン全てをデータベースに持って、webアクセスの度にそれを参照しなきゃならなくかる
当然そんな事をすればソフトの価格が何十倍かにはなるぞ

>>36
毎日更新し続けないといけなくなるし、一生アクセスしないサイトのデータまで保持するからムダに容量を食うことにｗ

おまえらも２chだと思って書き込んでると
実は中国の･･･

>>1
IPアドレスの直打ちならどうなんだ？

>>36
>>37
まあ、自分が見たサイト分だけIPとドメインの対応表保存しといて、
前みたのと違うIPになってます警告くらいは出してもいいかもしんないけど、
DNSで意図的に不可分散やってるサイトが警告でまくりになるしなぁ・・。

もう直接IPアドレス打ち込めばよくね？
たった12桁なんだし、リンクから移動するときも「○○はこちら」って文字列をクリックするだけでURLなんか表に出ないし。

それでは、このｽﾚの合格者を発表します。答えは”IPアドレスの直打ち”です。
この視点に気付かなかった人は退場願います。
↓
17 名前：名無しさん＠十一周年[] 投稿日：2010/10/06(水) 08:09:29 ID:FsRgzpLx0
お前らアホだな
IP直打ちすればいいだけじゃん

39 名前：名無しさん＠十一周年[sage] 投稿日：2010/10/06(水) 09:13:20 ID:sGDJUnjh0
>>1
IPアドレスの直打ちならどうなんだ？

41 名前：名無しさん＠十一周年[] 投稿日：2010/10/06(水) 09:14:47 ID:b720s+qiO
もう直接IPアドレス打ち込めばよくね？
たった12桁なんだし、リンクから移動するときも「○○はこちら」って文字列をクリックするだけでURLなんか表に出ないし。

そんなこまけえことは気にしなければいいんだ

>>39
>>41
ipアドレスってのはただのサーバーの住所
ずっと同じな訳じゃない
サーバーの移設頻繁に行われてるんだから、それを常に追跡するなんて不可能

そもそも安全なipアドレスをどうやって調べるつもりだ？
話が堂々巡りになるだけだろ

証明書付きのDNSサーバー作ればよくね？
DNSをIPアドレス直打ちするくらいなんでもないだろ（ｗ

全然深刻な問題じゃないと思うんだが

何度読んでも、だから何なのかが良く分らない


例え、変なサイトに誘導されたからと言って
開けば、違う事は見たら分るし。よく分からん

パッと見たら「そのDQNの対応は」に見えたｗ

ふむう、ソーメンがどうかしたの？

>>45
全員がルートサーバに直つなぎで、
毎回、本サーバーたどるようにすればこの問題はおきない(ｷﾘｯ
…て言ってるのと同じだぞ。
それができるなら、そもそもキャッシュサーバーなんて作られないし。

>>48
そろそろ終わりですね

>>46
＞例え、変なサイトに誘導されたからと言って
＞開けば、違う事は見たら分るし。

書き換えられるとその違うサイトにしか行けなくなっちゃうことが問題

IPアドレス足りなくなる説はどうなったの？

>>46
お買い物サイトの、クレカ入力画面周りだけ、精巧にまねてつくって…というか、コピーするだけでいいんだけどね
認証サーバーに切り替わる瞬間に別ページにジャンプさせるように罠はったら気がつかないかもしんない。

とはいえ、今のところ、あんまし心配しなくていいんだけど、
悪いこと考える奴は、新しい有用な手段みつかるとなにすっかわかんないからなぁ・・というところ。
鯖管が「また、考慮するべき点が増えたのかよ・・」って鬱になるかも。

＞４９

認証できないDNSを無視するロジックをRFCにすればいいじゃん（ｗ

認証されたDNSが詐称するならそれは知らん（ｗ

>>52
こういうバカを何とかすれば解決する


61 名前：名無しさん＠十周年 投稿日：2009/10/22(木) 22:04:27 ID:C6RDFXDq0 4回目

133.113.0.0/16 株式会社 東芝
133.114.0.0/16 株式会社 東芝
133.115.0.0/16 株式会社 東芝
133.116.0.0/16 株式会社 東芝
133.117.0.0/16 株式会社 東芝
133.118.0.0/16 株式会社 東芝
133.119.0.0/16 株式会社 東芝
133.120.0.0/16 株式会社 東芝
133.165.0.0/16 株式会社 東芝
133.196.0.0/16 株式会社 東芝
133.197.0.0/16 株式会社 東芝
133.198.0.0/16 株式会社 東芝
133.199.0.0/16 株式会社 東芝

合計８５万個かよ・・・

>>54
んにゃだから、プロバのDNSキャッシュ鯖がある意味認証つきのDNSキャッシュ鯖だけど、
逆言うと、その鯖の認証を受けて利用できてる人なら書きかえられちゃうってことだから、
なかなか悩ましいのと思う。
認証してれば(身元がわかるから)すぐ捕まえられるだろ?って話はあるんだけどさ、
そういう動きするウィルス作ってばら撒かれたら、ちょっとこれ、頭抱えるぞ。

とかね。
心配性な人による杞憂も多いけど「〜ばいいだろw」と言い切れるもんでもないっていう。
少なくとも、ロジック加えてRFC更新して、対応することを義務づけても、
全部の鯖が更新されるまで年単位でかかるって点もあるし。
RFC違反による罰則ってないからねぇ

>>46
攻撃者が好きに書き換える事が出来るから問題なんだよ
amazonのhtmlを丸ごともってきて、クレカ番号だけしっかれ記録されるようになってたたして、ドメインも見かけも正しいのにどうやっめ偽物ときづけるかってこと

Dqn Name System

>>1
>日本のドメイン名である「.jp」でも2011年1月に導入することが決まっている。
おせーよ！

ふむ。確かにここは２ちゃんじゃないな。

今の住所に引っ越して１ヶ月、ずっと書き込み禁止で一度もカキコしたことが無かったのに、

今日はちゃんと書き込めるもの。

>>59
絶対にコケちゃいけないもの、とめずにコケずに更新かけるのって以外と大変なんだ。
日本の場合は、それ以外の要因で遅れてる可能性は十分にあるけど。

8.8.8.8にしとけ

>>42
先生！IPアドレスは12桁に限らないと思います！

>>30
同志よwww
あの後もDTIはいろいろとひどいみたいだな
いまだにプロバイダ板の勢いすごいしw

（* ｀八´） ＜我が国の言論統制技術が世界に羽ばたくアルヨ

昔ロシア人が勝手にルートネームサーバー立てて名前空間の乗っ取りとかしてFBIに逮捕されてたよね(´･ω･｀)

大手は全通信をSSLにするとか。

カミンスキーってウィルス対策ソフト作ってるとこ？
壮大なマッチポンプ？

>>54
>>56
「認証」ってのがログイン的な考えなら別だけど、PKIによる認証局的な考えなら、それがまさにDNSSECの考え方だよ
キャッシュさせる情報には電子署名が必要になる

よく分からんです。
例えば２ちゃんねるみたい時にブラウザにhttp://www.2ch.net/打ち込む（若しくはお気に入りから）
するとDNSサーバってのが２たｙんねるのIP***.***.***.***探してつないでくれるって事？
それを書き換えて他のサイトにつなぐと。

インターネットのプロトコルでDNSサーバのアドレスは自動取得になってたんだが誰がどうきめるんですか？

>>41
下手したら32桁だろ

ハッシュ使えばいいのに

>>70
そんな感じ
DNSのキャッシュサーバーはプロバイダや大学なんかが持ってる

最近、dyndnsの無料サービス変わったんだよな

全然、気づいていなかった。いまどうするか考え中

バリュードメインの無料サービスっていいのかしら？

複数のDNSで比較して全て同一ならOKみたいな手法ないんかな？

>>1
今月から「青少年健全育成」を名目に、総務省指導でＤＮＳポイズニングの試験がはじまるんだよな。
つまり、民主党や千谷、中国を批判するブログはＤＮＳポイズニングによって遮断される。

だって、青少年が政府を批判したり可哀相な隣国を批判するブログを読んでたら精神発育に有害だもんね。


おれは大賛成だ。　←※政府の方、見ていたら私の得点をプラスにしてください。
おれは大賛成だ。　←※政府の方、見ていたら私の得点をプラスにしてください。
おれは大賛成だ。　←※政府の方、見ていたら私の得点をプラスにしてください。
おれは大賛成だ。　←※政府の方、見ていたら私の得点をプラスにしてください。

こういうウィルス発見するのって、なんちゃらスキーさんが多いね。
開発のほうもやってたりするんんかな？

ロシアと中国と韓国をｲﾝﾀｰﾈｯﾄから遮断すればいいんじゃね？

>>73
ありがとう御座います。
＞プロバイダや大学なんかが持ってる
なるほど契約してるプロバイダにまずは繋がると。

まあ軒並みあぼーんなんだからいいじゃないかｗ
祭りに参加したとでも思いねぇｗ

>>79
そのプロバイダがやっちゃってたのが昨年末のDTI

http://www39.atwiki.jp/dtiwiki/
ttp://slashdot.jp/it/article.pl?sid=09/12/14/0526246


>>64
数か月間メールが不調らしいなｗ

>>77
スキーって意思表示してるもんね

もし2ちゃんを全面的に乗っ取ったら、本人の書き込みだけが本物でほかは全て
偽物とかできるよな。まあ、ID変わったら自分の書き込み消えるけど。
ｵﾏｲﾗみたいに2ちゃん依存度が高いと知らないうちに洗脳されるぞ。
俺も既に十分洗脳されてるようなものだがw

>>44
バンキングとか　大きな組織は　入り口はこのIPとかに決めてもらった方がいいのかもな。
IPV6とかになったら、できるのかねえ

「ミテイルドメインヲシンジルナ！」

　こういうネットに対する決定的な犯罪を犯した者は

「死刑」というふうに、厳罰にすればバカは出てこない

んだけどね。

実際に、世界的な損失額は兆円単位になり、

「死刑」相当だよ。

兆円単位はよほどのことがないと達成しないだろ・・・

っていうか、そんな事件あったか？

>>84
そうするとそのipアドレス帯域を持つISPが圧倒的に事業上の優位性を持ち、独占禁止法に違反する

>>85
日本にあるDNSキャッシュサーバーに対して、韓国に住所を持つ中国人がインドにあるPCからタイのドメインを書き換えた場合、何処の国の法律で裁かれるんだろうなぁ
まぁその前に誰が書き換えたかなんて特定するのはまず無理

('A`)q□　>>85
(へへ　　　ゼーガのBDでも買ったかｗ

そこでべリサインの出番ですよ

・・・のはずだったのだがな。

そのDQNの応答は、本当に常に間違っている

これはガチ

どーでもいいけど、カミンスキーアタックって結構タイミングシビアなのよ
あらかじめアクセスする人の行動が詳細までわかっていないと難しいっていうのがね

「脆弱性テストツール」という名の武器ワロス
http://www.metasploit.com/

自分んとこDNSサーバーは立ててないから何も意見ないです

お前らにいいお知らせ
IP直打ちすればいいだろと思うだろうが、バーチャルホストを採用しているサーバー(レンタルサーバーはほとんど)の場合、
IPを直打ちしても大抵は自社広告しかない場合が多い
(2chもバーチャルホスト式なのでkamome.2ch.netのIPアドレスである 206.223.153.115 にアクセスしても表示されるのは403ページだけ)

>>42
その方法は意味なし

もっとも確実な方法はhostsファイルの書き換え。これならバーチャルホストを採用してる鯖でも大丈夫
IPアドレス変わったらアクセスできなくなるだろって？それはIP直打ちでも同じこと

>>42

IP直打ちって。
マルチドメインで運営しているサイトが圧倒的に多いんだが。

今北産業

>>1
>ところが、カミンスキーメソッドの発見によって、 
>キャッシュポイズニング攻撃が現実のものとなってしまったのだ。 

そんなのポートランダマイズで防げるのに、何を今更騒ぐかね

>日本のドメイン名である「.jp」でも2011年1月に導入することが決まっている。 

無駄

>>24
それ、DNSじゃなくてHTTP（強制）プロキシだろ

DNSSECでもIP直打ちでも、防げない

>>86
馬鹿言うな。
被害額を日当日割りで50000年の強制労働とかだよ。

DNSSECなんかダメダメじゃん。だいたいNATすらどうにもできないくせに。
ルート鍵はどうすんの？
JPRSもなんであんなに導入を勧めてるんだろ。

自分ちで自前でbindを立ち上げたら
ルートＤＮＳから直接拾ってくるはずだよ

>>101
DNSSECのRoot鍵の証明の話。

IPで参照すればいいんだろ？
たいした問題じゃないよ

スキースキーって尻っぺたにスキーつけねえと喋れねえのかよ

えっ、おいらのルーター君、騙されてるの？

JWORDのサービスのことか？

JWORDってよく聞くけどなんかあるの？

>>24
なんだそりゃ、プロバイダーはそんな事をやっちゃだめだろ

もうDNS廃止にして、フルIPにしちゃえｗ

『実は今まで君らが見ていたこの板は、ニュース速報−（マイナス）なんだ』

『だって今の世の中に、プラスのニュースなんて一つも無いからね』

また面倒くさそうなのが・・
どうせ組織内の鯖の対策押し付けられる し、騒ぎ出すまで知らんぷりしとこ

>>33
SCでは定番問題だったような

確かに試験にはよく出そうだよな

ＩＰ直打ちとか言ってるのって、素人ですって言ってるようなものだな

IPアドレス直打ちなら自前でDNSサーバー立ち上げた方が便利だろ、
と言うかIPアドレスそんなに知らないだろ。

そう言えば、IPv6の話題は10年ぐらい前に雑誌を賑わしてたよな。
日経エレクトロニクスとかしょっちゅうやってたな。
その後の動向はよく分からんけど、最近のニュースでIPアドレスの
枯渇とか言ってるのを聞いて、随分今更な話だとだと思ったもんだ

8.8.8.8使っておけば良いってことじゃないの？
少なくとも俺だけ被害者になる事は無い。