SECCON 2014 長野大会 DNS Security Challenge Writeupその3
■mondai3
○問題文
mondai3.pcapを見て、以下の問いに答えて下さい。
問1:どのパケットが攻撃者の発信したものか(Seconds from Epochで答えてください)
答え:
問2:用いられた攻撃手法は何か
答え:
問3:その攻撃手法だと考えた理由は何
答え:
○パケットデータ概要
キャッシュDNSがクライアントDNSからのリクエストを受けて、一生懸命動くさまが記録されている。
関係ないパケットを無視して、注目するのは下記。
(凡例)パケットNo ソースIP:ソースポート -> デスティネーションIP:デスティネーションポート Info
1 10.210.222.194:45796 -> 10.210.222.197:53 Standard query 0x5683 A www.indo8.co.jp
(省略)
8 10.210.222.197:37886 -> 10.232.86.3:53 Standard query 0x5cb4 A www.indo8.co.jp
9 10.232.86.3:53 -> 10.210.222.197:37886 Standard query response 0x5cb4 A 10.32.158.139
10 10.232.86.3:53 -> 10.210.222.197:37886 Standard query response 0x5cb4 A 10.32.211.139
(省略)
19 10.210.222.197:53 -> 10.210.222.194:45796 Standard query 0x5683 A 10.32.158.139
○回答考察
DNSフラグの様子から、10.210.222.194がDNSクライアント側、10.210.222.197がキャッシュDNSと判明する。
No1にて、10.210.222.194からの再帰(要求)問い合わせを10.210.222.197が受ける。
省略部分で10.210.222.197による反復問い合わせ(非再帰要求を再帰的に行う)をへて、No8にて到達した権威DNS(10.232.86.3)へ問い合わせ(非再帰)を実施。
No9とNo10にて、権威DNSからの回答を受け取っているが、重複している。
No19で、DNSクライアントへ受け取った回答をレスポンスして終了。
No9が偽装されたパケットで、No10は正式なパケットと思われる。
(チェックサムでもNo10のパケットが編集されてNo9が作成されたことが分かる。)
(ちなみにNo19もチェックサムがおかしかった。正しいレスポンスが帰っているキャプチャを編集し、No9で編集したIPがもどっているようにNo19を編集したためとおもわれる。)
( ※No19をバイナリエディタで編集(10.32.158.139を10.32.211.139と修正)すると、チェックサムは正常になるため。)
ということで問1の回答は確定。
問2と問3について考察。
公開された回答は、権威DNS側での中間者攻撃でした。
これも、mondai2と同じ疑問をいだき、中間者攻撃という単語は利用しませんでした。不正解。。
(権威DNSを偽装したDNSキャッシュポイズニングと表現)
正規のパケットがあとから送られてこなければ迷わなかったのですが。。