SECCON 2014 長野大会 DNS Security Challenge Writeupその5
■mondai5
○問題文
mondai5.pcapを見て以下の問いに答えて下さい。
問1:どのIPアドレスに対して何の攻撃をしむけようとしているか?
normal.pcapと見比べて,攻撃先のアドレスと攻撃名を示せ.
答え:
○パケットデータ概要
この問題のパケットデータはこれまでの問題とは明らかに品質が違っている。
きちんとした美しいデータにみえる。
ファイルは2つある。全部記載してみる。
(このデータだけは、公開されてもいいような気を使ったアドレスが最初から使われている。)
(凡例)パケットNo ソースIP:ソースポート -> デスティネーションIP:デスティネーションポート Info (補足)
・mondai5.pcap(1パケットのみ記録されている)
1 192.168.1.111:55862 -> 192.168.1.1:53 Standard query 0xd55f A www.example.com
・mondai5-normal.pcap
1 192.168.1.100:55862 -> 192.168.1.1:53 Standard query 0xd55f A www.example.com
2 192.168.1.100:50779 -> 192.168.1.1:53 Standard query 0xd196 NS <Root>
3 192.168.1.1:53 -> 192.168.1.100:55862 Standard query response 0xd55f A 192.168.1.2
4 192.168.1.1:53 -> 192.168.1.100:50779 Standard query response 0xd196 Server failure
5 192.168.1.100:49274 -> 192.168.1.1:53 Standard query 0xd431 NS <Root>
6 192.168.1.1:53 -> 192.168.1.100:49274 Standard query response 0xd431 Server failure
7 192.168.1.100:64480 -> 192.168.1.1:53 Standard query 0x5539 AAAA A.ROOT-SERVERS.NET
8 192.168.1.1:53 -> 192.168.1.100:64480 Standard query response 0x5539 Server failure
9 192.168.1.100:8228 -> 192.168.1.1:53 Standard query 0x82c7 AAAA A.ROOT-SERVERS.NET
10 192.168.1.1:53 -> 192.168.1.100:8228 Standard query response 0x82c7 Server failure
DNSクライアントである192.168.1.100が、192.168.1.1のキャッシュDNSへ対していくつか再帰問い合わせ(要求)を実施している。
ファイル名がnormalなので、キャッシュDNSサーバの今の状態を表現していると思われる。
・No1でwww.example.comのAレコードの再帰問い合わせ(要求)を出しているのに対し、No3でレスポンスがきている。
・その他のパケットはすべて、このキャッシュDNS(192.168.1.1)がルートサーバへアクセスができない状態を表していると思われる。
○回答考察
ルートサーバへアクセスできないキャッシュDNSがレスポンスを返すということは、現在キャッシュされている情報を利用しているということである。
mondai5-normal.pcapをみると、www.example.comについては、192.168.1.2という回答を返答できている。
よって、www.example.comのAレコードはキャッシュされている。
次にmondai5.pcapを見る。
キャッシュDNSにキャッシュされているAレコードをリクエストしているだけ。
問題文によると、これは攻撃パケットであるという。
これはおそらく192.168.1.1のキャッシュDNSが保持しているwww.example.comのAレコードのTTL切れを延命しようとしている攻撃ではないかと推測した。
(実際はおなじくキャッシュされているであろうexample.comのNSレコードを延命している。)
よって答えは下記のように記述した。
答え:192.168.1.1 に対し www.example.com の間違った 192.168.1.2 をキャッシュさせ続けさせるため、
すでにキャッシュされていると思われるwww.example.comの権威サーバのNSのTTL切れを防止している。
(最終的な攻撃先は、キャッシュサーバとして 192.168.1.1を使っている192.168.1.100等のDNSクライアント)
攻撃名はghost domain names(幽霊ドメイン名)脆弱性攻撃
しかし、公開された回答は、、、
DNSamp(lifier)攻撃、DNS Reflector Attack(Reflection Attack)でした。。
再度頭真っ白。。疲れ感マックス。。
寝不足とクイズ大会でくたばっている脳で、どこを間違えたか考えていた。。
そうしているうちに、回答公開終了。。
休憩時間にも落ち着いて考えてみたが、どうしても納得できず、まずはJPRSの方に聞いてみた。
サイズの大きいパケットや、いくつかパケットが記録されていればDNSampかもとのこと。
(問題は作成していないので詳細は不明とのこと)。
サイズ、、、Aレコードだし小さいし。。ANYでクエリーしていれば多少は、、、でも。。
運営の方の一人にもどうしてDNSampかどうしても理解できないので教えてほしいと聞いてみたが、問題作成者に聞いてみるとの回答をもらった。
う~ん、、何か見落としている?。。ほんとにDNSampなの????