Title: DNS WG2014年度活動報告書 Author(s): 石原知洋(sho@c.u-tokyo.ac.jp)    関谷勇司(sekiya@wide.ad.jp) Date: 2014-1-13 1. はじめに DNS WG では、DNS における実装上や運用上の問題点に関して、情報共有とそれ を解決するための活動を行っている。2014年は春と秋の WIDE 研究会において ミーティングを開催し、情報交換を行った。本報告書では、これらのミーティ ングにおいて発表、議論がなされた事項についてまとめる。 本年度では、DNS の新しいキャッシュポイゾニング攻撃とその対策と、 DNS インフラそのものに対する DDoS 攻撃が話題になった。 2. 2014年WIDE 春合宿での議論まとめ 2014年3月の WIDE 春合宿において、DNS WG のミーティングを開催した。この ミーティングでは、以下の事項に関して発表と議論が行われた。 - DNS port randomization の現状 (JPRS 藤原) - DNS RRL (response rate limiting)(JPRS 森下) - 第一フラグメント便乗攻撃 (JPRS 森下) - レジストリ・レジストラへの攻撃(JPRS 森下) 主としてDNSの既知の攻撃についての現状調査報告と、新しい攻撃手法についての 紹介、および対策について議論がおこなわれた。 2.1 DNS port randomization の現状(JPRS 藤原) JPRSの藤原氏より、JP の権威サーバ上で観測されたデータを解析し、 各DNSキャッシュサーバが問い合わせを出すときのポート番号がどの程度 ランダム化されているかについて、報告があった。 近年、さまざまなDNS詐称攻撃が新たに見つかっているが、それらのDNS詐称攻撃が 成立する前提条件として、詐称しようとする相手が発行したDNS問い合わせの UDPポート番号を推定する必要がある。それほど古くないバージョンのDNS キャッシュサーバ実装であれば、それらのUDPポートは推定されないように ランダム化されたものを利用するが、古い実装を使っていたり、意図的にポート 番号を固定化する設定をおこなって居た場合、適切にポート番号がランダム化されず、 結果としてDNS詐称攻撃に対するリスクを増やしてしまう。 調査の結果、適切にポートがランダム化されているものは80~90%となり、 残りはポートが固定になっていたり、規則的に変化しているなどランダム化 されておらず、脅威に対して脆弱な状態にあることがわかった。 また、複数年のデータを元にした調査では、2006年の時点ではランダム化が 数十%であったものが現在の80~90%となっており増加はしているが、ここ1年 ぐらいはほとんど比率に変化がないこともわかった。 2.2 DNS RRL (response rate linmiting(JPRS 森下) JPRS の森下氏より、権威DNSサーバのレート制御(DNS RRL)について説明が あった。 DNS を利用したDDoS 攻撃は、今までは主としてOpen Resolver を悪用する形で 実施されていたが、今後は大きいDNS回答を発生させる権威DNSサーバが攻撃に 悪用される事例も発生している。 DNS RRL はそのような攻撃に対する対策として、攻撃と疑われる特定のクエリを 制限する機構である。制限の方法としては、あるIPアドレスブロックからの 単位時間あたりの同一名に対する同一ステータスの問い合わせに対する応答が 所定の頻度を超えた場合に、応答を返す頻度を減少させ TCP へのフォールバックを 促すものである。 現在(2014年12月)、この機能はネームサーバ実装である ISC BIND に実装されており、 また、JP を含めて幾つかの権威サーバにおいて運用されている。 2.3 第一フラグメント便乗攻撃(JPRS 森下) JPRS の森下氏より、UDP のフラグメンテーションを利用したDNS詐称攻撃である、 第一フラグメント便乗攻撃についての報告があった。 第一フラグメント便乗攻撃は、DNS のパケット同定に利用するポート番号、DNS ID などが パケットの先頭部分にしか存在しないことを利用し、フラグメンテーションが起こる サイズのDNS応答が発生するようなクエリを送り、偽装したフラグメントパケットを送る ことでDNS詐称攻撃を行うものである。 本報告では、DNSSECの導入、IPフラグメントの仕様拡張(IPv6スタックへの拡張)、 DNSキャッシュサーバ上でのキャッシュへのランダムな文字列の追加、 権威サーバ上でのランダムなRR付加、EDNS0 のバッファーサイズのランダム化、 使用する最大ペイロード長の抑制、Path MTU Discovery を無視するソケット オプションの新設(Linux のカーネル上での対策)などの同攻撃への対策がいくつか 紹介された。 2.4 レジストリ・レジストラへの攻撃(JPRS 森下) DNSインフラに対する別の側面からの攻撃として、レジストリ・レジストラに対する 不正アクセスや、FAX を利用したなりすましによるパスワードリセットなどの ソーシャルハック的な手段により、レジストリデータベースを不正に書き換える 攻撃について報告があった。 現時点では攻撃者による示威行為などが主であり、政治的なメッセージを表示 するページに誘導するなどの行為が行われていた。 手口としては、一般的なwebサイトやサービスへの不正アクセスと同じであるため、 基本的な対策はそれらによるものに準ずる。また、レジストリによっては 通常方法で情報が書き換えられないようにする「レジストリロック」などの サービスを提供しているため、それらの活用も対策として有効である。 3. 2014年5月 WIDE 研究会での発表 2014年5月に開催された WIDE 研究会において、JPRS の森下氏よりDNS キャッシュポイゾニングの現状と対策についての講演があった。 講演は、キャッシュポイズニング攻撃とカミンスキー型攻撃手法の概要、 新しく見つかった攻撃手法のポイント、攻撃への対策法と現状などについて 発表された。 4. 2014年WIDE秋合宿での議論まとめ また、2014年9月の WIDE 秋合宿においても、DNS WG のミーティングを開催し た。このミーティングでは、以下の事項に関して発表と議論が行われた。 - DNS 水責め(Water Torture)攻撃について(JPRS森下) - Day in the Lifetime(DITL) DNS トラフィックの分析結果について(JPRS藤原) - DNS トラフィック解析基盤の開発について(東京大学 石原) 4.1 DNS 水責め(Water Torture)攻撃について(JPRS森下) JPRSの森下氏より、最近発見されたDNSへのDDoS 攻撃について発表があった。 本攻撃は、様々なネットワークに存在するボットなどのホストを用いて、 自ネットワークのキャッシュサーバに対して特定権威サーバについての問い合わせを大量に 送るものである。 本攻撃はもともとは権威サーバを標的に企図されていると推定されるが、 標的となった権威サーバが応答不能になることで、結果として各組織の キャッシュサーバに応答が溜まり、様々なネットワークにおいてサービス 不能状態となっていた。 本攻撃に対する対策として、RPZを利用して各キャッシュサーバ上でフィルタする、 外部へのport53をソースとする通信を制限する、などが紹介された。 4.2 Day in the Lifetime(DITL) DNS トラフィックの分析結果について(JPRS藤原) JPRSの藤原氏より、各Root/TLD運用組織によって実施された大規模なトラフィック取得 (DNS DITL)と、国内の大学で取得されたDNSキャッシュサーバのクエリログとの 比較について、その解析結果の報告があった。 解析により、1)DNSキャッシュサーバの送信ポートランダム化は観測されたネームサーバ の90%が対応済みであるが、残りの10%についてはまだ未対策であること、 Unbound に比べてBind9の方が多くルートネームサーバに対してクエリを送る 傾向があること、ルートネームサーバへの問い合わせは2010年に一旦減少したが、 また増加傾向にあることなどがわかった。 4.3 DNS トラフィック解析基盤の開発について(東京大学 石原) 東京大学の石原より、分散環境を利用したDNSトラフィック解析基盤について 報告があった。本機構はHadoop/Hiveをベースとして利用し、権威サーバ、および キャッシュサーバ上で得られたトラフィックデータ・クエリログを分散データベース 上に保存し、それらのクエリ・応答に対する高速な検索やデータベース操作を 可能としている。 5. おわりに インターネットは成長を続けているが、その基幹部分である DNS の重要性は 変化がない。DNS を悪用した攻撃、DNS そのものに対する攻撃は年々新しいものが 発見・開発されており、それに比べて対策については追い付いていない現状が 今年度の研究・議論からわかった。 DNSの社会においての重要性は今後さらに増していくことが予想される。今後も DNS WG ではDNSを安全・安心に利用できるように研究・議論をすすめていきたい。 \end{document}