Linux Memo/bind_attack
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
]
開始行:
*DNSのセキュリティ [#c6ccd490]
RIGHT:更新日&lastmod();
**DNS 実装にキャッシュポイズニング攻撃 [#g0f3592e]
キャッシュサーバとしているとき、DNSが情報を得るため目的サ...
このときサーバは自分ものとわかるようにIDをつける(UDP通信...
-対策はキャッシュサーバは外部から利用させないにする。
これにより大量のリクエストを外部から受けなくてすむ。する...
-問い合わせ元ポートをランダムにする。
問い合わせ元ポートが変わると悪意のあるサイトからの送りつ...
しかしながら、あくまで確率を下げることしかできない。DNSの...
***対策 [#a0fdcd26]
''キャッシュサーバは外部から利用させない''
acl "localnet" {
192.168.0.0/16;
127.0.0.1;
};
(略)
view "local" {
match-clients { "localnet"; };
recursion yes; <=再起的な問い合わせを許可
(略)
view "world" {
match-clients { any; };
recursion no; <=再起的な問い合わせを禁止
''問い合わせ元ポートをランダムにする''
bindをバージョンアップ
**検査 [#c8a2a6fc]
***ポートがランダムか? [#e52b0062]
キャッシュサーバのチェックツール:自分が使用できるキャッ...
当然GREATがパッチ後
''パッチ後''
$ dig +short porttest.dns-oarc.net TXT @xxx.xxx.xxx.xxx
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b...
"xxx.xxx is GREAT: 26 queries in 6.5 seconds from 26 por...
^^^^^
''パッチ前''
$ dig +short porttest.dns-oarc.net TXT @yyy.yyy.yyy.yyy
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b...
"yyy.yyy.yyy.yyy is POOR: 26 queries in 6.5 seconds from...
^^^^
***テストサイト(ランダムポート否かチェック) [#m98baf5e]
https://www.dns-oarc.net/oarc/services/dnsentropy
**参考サイト [#q00ddbba]
http://www.janog.gr.jp/meeting/janog19/files/DNS_Minda.pdf
https://www.tokai-ic.or.jp/kaminsky.html
**DNS の再帰的な問合せを使った DDoS 攻撃について [#k9a533...
DDosをDNSを利用しておおなう。はじめに準備段階で任意の文字...
次に、攻撃対象サーバのIPを偽装し、複数用意した踏み台サー...
対策はDNS の再帰的な問合せを外部からさせない。
***参考 [#w2e83ab5]
http://www.cyberpolice.go.jp/server/rd_env/pdf/20060711_D...
終了行:
*DNSのセキュリティ [#c6ccd490]
RIGHT:更新日&lastmod();
**DNS 実装にキャッシュポイズニング攻撃 [#g0f3592e]
キャッシュサーバとしているとき、DNSが情報を得るため目的サ...
このときサーバは自分ものとわかるようにIDをつける(UDP通信...
-対策はキャッシュサーバは外部から利用させないにする。
これにより大量のリクエストを外部から受けなくてすむ。する...
-問い合わせ元ポートをランダムにする。
問い合わせ元ポートが変わると悪意のあるサイトからの送りつ...
しかしながら、あくまで確率を下げることしかできない。DNSの...
***対策 [#a0fdcd26]
''キャッシュサーバは外部から利用させない''
acl "localnet" {
192.168.0.0/16;
127.0.0.1;
};
(略)
view "local" {
match-clients { "localnet"; };
recursion yes; <=再起的な問い合わせを許可
(略)
view "world" {
match-clients { any; };
recursion no; <=再起的な問い合わせを禁止
''問い合わせ元ポートをランダムにする''
bindをバージョンアップ
**検査 [#c8a2a6fc]
***ポートがランダムか? [#e52b0062]
キャッシュサーバのチェックツール:自分が使用できるキャッ...
当然GREATがパッチ後
''パッチ後''
$ dig +short porttest.dns-oarc.net TXT @xxx.xxx.xxx.xxx
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b...
"xxx.xxx is GREAT: 26 queries in 6.5 seconds from 26 por...
^^^^^
''パッチ前''
$ dig +short porttest.dns-oarc.net TXT @yyy.yyy.yyy.yyy
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b...
"yyy.yyy.yyy.yyy is POOR: 26 queries in 6.5 seconds from...
^^^^
***テストサイト(ランダムポート否かチェック) [#m98baf5e]
https://www.dns-oarc.net/oarc/services/dnsentropy
**参考サイト [#q00ddbba]
http://www.janog.gr.jp/meeting/janog19/files/DNS_Minda.pdf
https://www.tokai-ic.or.jp/kaminsky.html
**DNS の再帰的な問合せを使った DDoS 攻撃について [#k9a533...
DDosをDNSを利用しておおなう。はじめに準備段階で任意の文字...
次に、攻撃対象サーバのIPを偽装し、複数用意した踏み台サー...
対策はDNS の再帰的な問合せを外部からさせない。
***参考 [#w2e83ab5]
http://www.cyberpolice.go.jp/server/rd_env/pdf/20060711_D...
ページ名:
![[PukiWiki]](image/../localimages/Atom.gif "[PukiWiki]")
