手のうちようがない？ (#1299177) | 「詐欺的DNSサーバ」が増加中

「「詐欺的DNSサーバ」が増加中」記事へのコメント

記事ページを表示すべてのコメント取得

検索58コメント Log In/Create an Account

手のうちようがない？ (スコア:2, すばらしい洞察)

by Anonymous Coward on 2008年02月18日 15時24分 (#1299177)

＞アンチウイルスソフトでは手の施しようがない場合が多いのが、この手法の普及に一役買っているようだ。

んーっと。
多分こういうときに一番に狙われるのは、
検索サイトや、銀行、カード会社ですよね？

定期的に、nslookup で、DNSサーバ決めうちのクエリを狙われやすいサイトに対してかけて
それがサーバ決めうちでない結果と大きく食い違ったら（ネットワークのオーナーとかが）
警告を出すとか？

# まあこの仕組みをアンチウィルス系の会社がやろうとおもったら
# 正しいDNSサーバ(決めうち側)をどう用意するかが問題ですが
- Re:手のうちようがない？ (スコア:2, 興味深い)
  
  by Anonymous Coward on 2008年02月18日 16時13分 (#1299209)
  
  複数のDNSサーバに問い合わせて結果を照合する
  
  シェア
  
  親コメント
  - Re:手のうちようがない？ (スコア:2, おもしろおかしい)
    
    by Anonymous Coward on 2008年02月18日 18時37分 (#1299293)
    
    先生！、その方法による調査の結果、www.yahoo.co.jpや、www.google.comは疑わしいサイトのようです。
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      DNSラウンドロビンか。
      オクテットごとに昇順に並べ替えて全マッチすればいいんじゃないかな？
      
      あれ？いつもよりサーバが1個多い……
  - Re: (スコア:0)
    
    by Anonymous Coward
    一個でも間違っていた場合の対処は？
    
    多数決？
    
    「エラー」を表示して見せない？
    
    「エラー」を表示の上見せる？
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      設定によりいずれか選択可、でいいんじゃ？
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        その際、エンドユーザー側は正しいアドレスを知っておく必要がありますね。
        
        さて、どうしたものやら・・
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        別に知らなくても、
        
        安全製重視→「エラー」を表示して見せない
        自前サンドボックスなどで慎重に実行→「エラー」を表示の上見せる
        運を天に任せる→多数決
        
        とすれば？
- Re:手のうちようがない？ (スコア:2, 参考になる)
  
  by Anonymous Coward on 2008年02月18日 16時14分 (#1299213)
  
  >多分こういうときに一番に狙われるのは、
  >検索サイトや、銀行、カード会社ですよね？
  
  #「狙われた」わけではないけども。
  
  VISAドメイン問題解説
  http://www.e-ontap.com/summary/fornondnsexpert.html [e-ontap.com]
  
  ついでにこれも。
  DNSの不適切な運用が生むドメインハイジャックの危険性について
  http://www.e-ontap.com/dns/risk.html [e-ontap.com]
  
  シェア
  
  親コメント
- Re:手のうちようがない？ (スコア:1, 興味深い)
  
  by Anonymous Coward on 2008年02月18日 16時01分 (#1299198)
  
  この記事におけるクラック対象はISPや企業内のDNSキャッシュサーバです。DNSキャッシュサーバは本来ネットワーク外から参照するものではなく、そのような対策は実質的に不可能です。
  
  現状やれる根本的な解決策は(EV)SSL証明書ぐらいしかないんじゃないんでしょうか。
  
  シェア
  
  親コメント
  - Re:手のうちようがない？ (スコア:1, 興味深い)
    
    by Anonymous Coward on 2008年02月18日 19時54分 (#1299338)
    
    ＞この記事におけるクラック対象はISPや企業内のDNSキャッシュサーバです。
    ＞DNSキャッシュサーバは本来ネットワーク外から参照するものではなく、そのような対策は実質的に不可能です。
    
    企業内だとDNS リクエストが外に行かないかもしれませんが
    ISPのキャッシュサーバなら、別に外のDNS見に行けますよね？
    
    正しいDNSサーバを用意できないって、上で書いたのは
    単に負荷が上流に集中するので大変だよなぁ、と言う意味でして・・・
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    いや、根本的な解決策はDNSを使わないような仕組みを作ることでしょ。 DNS自体が古い仕組みだし、そろそろ引退してもらいたいところ。 #現実味は・・・
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    > この記事におけるクラック対象はISPや企業内のDNSキャッシュサーバです
    
    え、そうなの？そうは読めなかった。
    エンドユーザーの参照DNS設定をクラックして云々かと思ってましたが。
    - Re:手のうちようがない？ (スコア:1, 参考になる)
      
      by Anonymous Coward on 2008年02月19日 9時42分 (#1299563)
      
      原文斜めに読むと例としてgoogleへアクセス云々とあるから、キャッシュサーバの
      汚染話だと気づいて欲しいけれどねぇ。DNS,DNSって書いてあるけど今回はリゾル
      バとかキャッシュサーバとかそっちの話だ。
      djbdnsでいうdnscache、Powerdnsのpdns-recursor等が役割をになうタイプ。
      
      対策は端末自身にリゾルバ入れればOK。
      
      シェア
      
      親コメント
- Re:手のうちようがない？ (スコア:1)
  
  by phenix (31258) on 2008年02月18日 17時18分 (#1299245)
  
  ウイルスなんかと同じく、詐欺的DNSのリストを用意して、ヒットしたら警告じゃいかんのでしょうか。
  
  日本の場合、プロバイダがルータ送りつけるときにDNS塞いで、ルータが参照するDNSのアドレスも変更不可にしておけばいいとおもふ。
  
  シェア
  
  親コメント
- Re:手のうちようがない？ (スコア:1)
  
  by Offtopics (34135) on 2008年02月18日 17時47分 (#1299269)
  
  > アンチウイルスソフトでは手の施しようがない場合が多いのが、この手法の普及に一役買っているようだ。
  
  アンチウイルスソフトは無力ってだけで、こういう場合「一役買っている」って言うのかな？
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    普及に一役買っているのは、「アンチウイルスソフト」ではなくて、
    「既存のアンチウイルスソフトでは対処できない」手法がでしょ？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  個人情報の送信防止、とかいって名前とか電話番号とか登録させるアンチウイルスソフトってあるじゃない。
  あんな感じに正しい DNS も登録しておいて、システムの設定が違っていたら警告、で良くない？
- Re: (スコア:0)
  
  by Anonymous Coward
  
  アンチウイルスソフトにDNSサーバ機能を付けるとかは？
  OSのDNS参照先が自分でなければ警告、自分の保持してるキャッシュがアンチウィルスソフトの
  会社のキャッシュと食い違ったら警告、hostsファイルの改竄を警告……
- Re: (スコア:0)
  
  by Anonymous Coward
  
  SSLでサーバ証明するのでは、だめなんですか?
  DNS spoof はできても、サーバ証明書は偽造できないでしょ。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    マイクロソフト.jpの偽Aレコードを毒入れしておいて、偽Aレコードの先でマイク口ソフト.jpへリダイレクトし、マイク口ソフト.jpの本物のサイト証明書を提示すればOK。
    - Re:手のうちようがない？(SSL?) (スコア:0)
      
      by Anonymous Coward
      
      偽Aレコードの先でマイク口ソフト.jpへリダイレクトし、マイク口ソフト.jpの本物のサイト証明書を提示すれば
      え？ SSL のコネクションは偽ホストの方だから、これではハンドシェイクできないでしょ。これで本当に欺せる？もし欺せるなら、MITM アタックやり放題だと思うが、偉い人、教えて下さい。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        よーく見ましょう。マイク口ソフト.jp ≠マイクロソフト.jp リダイレクトしてから証明書ってのがミソ
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        なあんだ「それUnicodeで」ネタでしたか。これは「見誤り」に過ぎず、DNS spoofでサーバ証明書による同一性証明が無効になる訳ではないですね。
        というわけで、SSL のサーバ証明で十分では。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        > なあんだ「それUnicodeで」ネタでしたか。
        意味不明
        
        > SSL のサーバ証明で十分では。
        どう十分? たぶんあなたも、鍵のかかったマイク口(くち)ソフト.jpに騙される口。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

「詐欺的DNSサーバ」が増加中 More ログイン

「「詐欺的DNSサーバ」が増加中」記事へのコメント

手のうちようがない？ (スコア:2, すばらしい洞察)

Re:手のうちようがない？ (スコア:2, 興味深い)

Re:手のうちようがない？ (スコア:2, おもしろおかしい)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:手のうちようがない？ (スコア:2, 参考になる)

Re:手のうちようがない？ (スコア:1, 興味深い)

Re:手のうちようがない？ (スコア:1, 興味深い)

Re: (スコア:0)

Re: (スコア:0)

Re:手のうちようがない？ (スコア:1, 参考になる)

Re:手のうちようがない？ (スコア:1)

Re:手のうちようがない？ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:手のうちようがない？(SSL?) (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

スラド