DEFCON 21. DNS会議はあなたの健康にとって危険です。 パート1

私の名前はロブ・スタックルです。私はアリゾナ州フェニックスのセキュリティコンサルタントであり、主に五学期を務めています。 1996年からDefConカンファレンスに参加しており、高地での写真撮影が好きで、この週末は結婚式の11周年でした。 DefConに参加することで毎年ベガスでの結婚記念日を祝わざるを得なくなることを期待していなかった、驚くべき理解の妻Lindaに感謝したいと思います。







過去数年にわたって取り組んできた研究に関連するいくつかのことについてお話しします。 それらは共通のテーマで結ばれています-DNSトラフィックを監視せず、そこで何が起こるかを理解していない場合、すべてが正常である場合、おそらく悪いことが起こり始めても注意を払わないでしょう。 私は数年間DNSを「レイプ」しましたが、これは常に私のお気に入りの攻撃ベクトルの1つです。 ネットワーク境界の強化に大金を費やすことができますが、デバイスの1つを制御できれば、私を信頼して、ゲームオーバーです。



誤った構成を検出するための市場に脆弱性がないため、常に「足を踏み入れる」機会が与えられます。 今日は、DNSでの私の冒険と、DNSに関係する人々への私のトリックについて話すさまざまなトピックを議論します。



これらのトピックは、ネットワークのエンドユーザーによるDNSの動作を誤解することに専念しています。ドメインを登録していない人々、およびドメインハッキング自体について少しお話しします。



2011年のBlack HatおよびDefConカンファレンスで、Artyom Dainebergは、ビートスクワット、または「ビートフリッピング」と呼ばれるものについて話しました。 この研究に精通していないが、人気のあるドメインのDNSでこの問題に興味がある人は、このスライドにあるリンクを使用して彼のプレゼンテーションの資料をダウンロードできます。







プロジェクトページ / ビデオプレゼンテーション / スライド



Black Hatのレポートの前でさえ発表された彼のスピーチの発表を読んだとき、私はすぐにこれが私自身の目的のためにどのように使用できるかについて興味を持ちました。 詳細に入ることなく、ビートしゃがみとは何か、それがなぜ起こるか、そしてそれが何に影響するかを説明します。 1が0に、またはその逆の場合に誤ってメモリ内のビットをフリップするリスクの例をいくつか示します。 次のスライドは、これがドメイン名を表示するメモリ内の行の例のように見える方法を示しています。







そのような線の途中で、ユニットはゼロに変わります。 Artyomは、適切なタイミングでメモリの正しい部分に1ビットエラーが発生すると、クライアントが完全に正当であるが誤ったドメイン名を要求する現象を調査しました。



そのようなエラーの可能性と原因について多くの話がありましたが、私はこのエラーが悪意のある目的に使用されることを可能にするすべての方法を研究し始めました。 そのため、DNSスクワットを使用すると、ドメイン名を歪め、これらの「間違った」ドメインを登録して、ユーザー要求を送信できます。



次のスライドは、Googleドメイン名のビットスクワットの結果、メモリ内の高エネルギーのプロトンが文字gを意味する1を「ヒット」し、0を意味するfを意味し、その結果ユーザーがgoofle.comにリダイレクトされることを示しています。







したがって、ブラウザは別のサイトに完全にリダイレクトし、喜んで答えを見つけてくれます。 同時に、DNS SECはどのような方法でも支援することはできません。実際、ビットエラーを自動的に認識して修正するECCメモリを使用する以外に、このエラーを完全に目に見えない方法で防止する機会はほとんどありません。



ただし、このタイプのメモリはあまり一般的ではなく、ECCを使用した場合でも、ビットスクワットが発生する可能性があり、ネットワークカードやハードディスクのDRAMキャッシュなど、ECCメモリが使用されない場所がまだ多くあります。



Deinebergが問題の原因を詳細に説明しましたが、一般的にはメモリエラーが発生すると言うことができます。メモリエラーが発生したり、DNSに影響を与えたりすることがあります。 基本的に、ビットの「反転」は、メモリへの物理的損傷、過熱、電気的な問題、放射線への曝露、さらには宇宙放射線によっても発生します。



プレゼンテーションは、DefConオーガナイザーのステージ上で中断されます。DefConオーガナイザーは、11回目の結婚記念日に、カンファレンスに初めて出席するスピーカーと彼の妻Lindaを祝福します。 ロバートはおめでとうと言ってくれて彼らに感謝し、プレゼンテーションを続けます。

宇宙放射線はビットのしゃがみに影響を与える非常にまれな要因ですが、過熱はメモリエラーの非常に一般的な原因です。 スマートフォンは、極端な動作条件にさらされているため、特に脆弱であることに気付きました。 スマートフォンのバッテリーの過熱は、かなり一般的な現象です。 他のほとんどのデバイスには冷却機能がありますが、それでも管理しにくい動作条件を作り出します。







少し前まで、Googleはデータセンターの作業に関する情報を公開していました。 私が学んだ興味深いことの1つは、エネルギーを節約するために、ほとんどの人が不合理だと考える条件でデータセンターを運用しているというメッセージでした。 典型的なデータセンターが華氏60〜70度（15〜20°C）の最高温度で稼働している場合、Googleの専門家は、少なくとも80度（27°C）の温度でデータセンターを運用し、ベルギーのデータセンターGoogleサーバーを95度（35°C）の温度で操作しました。







キャプション：「お金を節約できると聞きました。」



IntelとMicrosoftは、サーバーは高温でも完全に動作すると主張し、Dellはサーバーの華氏115度（46°C）での起動を保証しています。 これは悪い考えだと思います。温度が安定したメモリ動作を確保する主な要因であり、Googleデータセンターは「火災」温度で動作するからです。



私はこれがどのような利点をもたらし、どのドメインがビットスクワットに最も脆弱であるか、つまり、このようなエラーが発生する可能性を高めるために最も頻繁に要求される名前を見つけようとしました。 大企業のDNSログの収集を開始して最も一般的なドメイン名を見つけ、最も要求された名前はgstatic.comであることがわかりました。 これは、CSS、画像、JavaScript、XMLファイルなどの静的情報を提供するためにGoogleが提供するドメインの1つです。







このgstatic.comドメイン名に含まれる可能性のある「変化」を識別するスクリプトを作成し、この名前のすべてのバリエーションのリストを34個の量で取得しました。 そのうちの5つは法的目的で使用され、残りの29は利用可能であったため、すべて購入しました。







私はすぐに目標を達成しました。 誰かがGoogleで画像を探していて、リクエストのコンテンツが何らかの形で破損していたので、彼のブラウザからリクエストの画像の1つを提供するように要求されたためです。 彼らのIPアドレス、リクエストした歪んだ名前、この画像を使用して回復しようとしたリソース、このコンテンツに関連するページ、このリクエストを送信するブラウザとして使用されたクライアントが表示されます。







このページでは、特定の名前Trisha Jonesのリクエストの形式で興味深い成果物を見ることができます。







さらに、リクエストの数が増え、名前のゆがみ、画像リクエスト、元のリクエストへのリンクが増えたため、50,000件以上のユニークなリクエストを収集しました。これは一般的なことでした。







スライドは、ホールで笑いを引き起こす女優セレナ・ゴメスの「写真」画像のリクエストを示しています。



ビートスクワットは、リクエストの1つに一致するタイミングで行われることがあります。これがあまり頻繁に行われなくても心配する必要はありません。 しかし、これは、ハードドライブへの保存が行われた瞬間に起こることがありますが、これは既に興味深いことです。 メモリの通常の動作状態ではビットスクワットが発生する可能性がありますが、主に温度が95度のデータセンターで発生する可能性が非常に高くなります。



現在、私のログはすべてのノイズでいっぱいです。手動で表示できないほどの量の要求が毎日歪んでいます。







そのため、同じクエリパターンを見つけるためにスクリプトを作成しましたが、取得した最大のものは、同じ歪んだドメイン名に対する同じ画像のクエリであり、それらはすべて携帯電話からのものでした。 これらの電話はすべてGoogleサイトの検索ページを使用しようとしたため、数秒ごとにこれらのリクエストを受け取り、元のページのロゴの小さな写真を提供するように頼みました。



Googleクラウド全体からコンテンツを提供し、ドメイン名を絶えず歪ませている1つのWebサーバーを見つけました。サーバーの1つを指し、その名前のロゴが偶然にあったため、顧客がそれを取得しました。



このスライドは、モバイルデバイスの画面上のGoogle検索ページのロゴがOccupyのロゴに置き換わっている様子を示しています。



2年間、このロゴに対する数十万のリクエストが、Googleが使用する予定のDNS名ではなく、歪んだDNS名でこのサーバーに届きました。 その後、Googleがモバイルサイトのコンテンツの変更を拒否し、この注文がキャンセルされたため、ある日彼らは停止しました。



そこで、クエリパターンの研究を続け、他のパターンを見つけようとしました。 それらの1つは定期的に表示され、保存されたビットスクワットエラーの結果としてではなく、メモリ内で「ビットを反転」することにより、明らかに自然な形で発生しました。







次のスライドに示すリクエストを1時間に1回の頻度で受け取りました。 よく知らないようで、全員がGoogle Feedfetcherクライアントを使用し、同じネットワーク上のデバイスから来ており、すべてのリクエストはXMLファイルに関連していました。 そのため、私は少し調べて、FeedfetcherがiGoogleの更新されたコンテンツをキャプチャするためにGoogleが使用するメカニズムであり、ソースIPアドレスがベルギーにあることを発見しました。







これらのリクエストはGoogle独自のサーバーに関連しており、iGoogleホームページ、個人的なインターネットポータルをパーソナライズするさまざまなウィジェットの更新されたコンテンツを受信するために使用されます。



各ウィジェットはコンテンツを定義するXMLファイルであり、Googleはこのコンテンツをプレゼンテーションサーバー（拍手と笑い声）に提供するように求めました。







したがって、Googleが誤ってユーザーに提供できるコンテンツを私から欲しがったら、それを受け取ると思いました。 Googleが私に尋ねたXMLファイルを取り、それらを部分に分割しました。 ご覧のとおり、モジュールを説明する見出しと、ウィジェットを構成するHTML CSSおよびJavaScriptにパックされたデータのCブロックの2つのセクションがあります。







したがって、背景画像へのリンクを変更し、gstatic.comのアドレスをgrtatic.comに変更し、残りを変更せずに、Feedfetcherが取得した行にXMLファイルを配置し、少し待機しました。







そのほぼ直後に、FeedfetcherはXMLファイルを要求し、その後すぐにこの背景画像の多くのGoogle IPアドレスからリクエストを受信し始めました。







したがって、私が変更したXMLファイルを削除し、リクエストが停止するのを待ちましたが、35日間連続して、61台のデバイスが毎日この画像について私に質問し続けました。 さらに興味深いことに、これらのデバイスはそれぞれ英国のVirgin Mediaクライアントでした。







そのため、このGoogle XMLファイルは61人に提供され、過去1年間で500のユニークなFeedfetcher IPからこれらのモジュールを15,000回提供するように求められました。 そのため、単に背景画像を置き換えるよりも有害なものをユーザーに提供できます。



Googleでできるその他のトリックをいくつか紹介します。 不明な場合、PostiniはGoogleの最近のスパム保護メール、ウェブセキュリティ、メールアーカイブサービスです。







このサービスを使用すると、psmtp.comの前に4つのMX文字を変更することにより、ドメイン内のMXレコードを示すようにDNSを変更し、ドメインを作成できます。 最も興味深いのは、ドメインが非常に短いため、名前のすべての可能なバージョンを「反転」ビットで簡単に登録できることです。 もう1つの興味深い点は、多くの企業が1つのドメインのMXレコードを示しており、それが悪い考えだと誰も考えていないことです。



したがって、このドメインに対して3つのビットスクワットのみを登録しました。psmtp.comの採用は非常に大きいため、次の4つのスライドには、1か月で受け取ったリクエストが表示されます。











したがって、Postiniメールを使用する場合、ある時点でのリクエストは私のサーバーに届きます。 Googleはインターネットセキュリティについて真剣ではないとは誰も言えないと思います。 しかし、メモリエラーの原因となる過熱がどのような問題につながるのかと疑問に思った場合、そのようなことに対する補償の可能性を検討する問題を提起することができます。 したがって、特にドメインが人気のある場合、Postiniなどのビジネスに悪影響を与えるため、ドメイン名をあまり短くしないでください。



名前の歪みエラーを修正し、そのようなことがあなたに与える影響を明確に理解できるようにする内部ドメイン名管理ポリシーを適用することを強くお勧めします。 gstatic.comと95度の温度で動作するデータセンターがある場合は、ビットスクワットエラーによってクライアントが悪意のある外部ネットワークに到達できないことを確認したいでしょう。



ちなみに、私が調査したすべてのドメインの中で、自社の名前の考えられるすべての歪みを登録した唯一の会社はYahooでした。



プレゼンテーションの次の部分では、DNSの動作を説明しますが、多くの人は結局のところ、完全には理解していません。







正直なところ、Microsoftは、特にDNSの動作が頻繁に変更されるため、文書化の仕事が非常に貧弱でした。 これは、特にそのような動作がしばしば矛盾しているため、エンドユーザーが何が起こっているかを誤解することにつながります。



したがって、DNSを照会するときにデバイスがどのように振る舞うべきか、そしてデバイスに何を期待するかを全員が理解する必要があるという事実から始めます。 次に、DNSサフィックス検索パスを使用したときにこの動作が予測不能になる方法、不十分なドキュメントがこのすべてにどのように影響するかを説明し、すべてから学ぶことができる教訓の簡単な概要で終わります。 しかし、最初に、エンドユーザーがDNSで何が起こっているかを誤解することがどれほど危険であるかを示します。



したがって、ブラウザのアドレスバーにwww.google.comと入力すると、コンピューターはローカルDNSサーバーにリクエストを送信し、必要なものを見つけてリクエストを返し、応答するジョブが割り当てられます。 ローカルサーバーは.comサーバーにアクセスするためにルートサーバーを呼び出し、ルートサーバーはそれを.comサーバーに送信します。 彼は、ローカルサーバーがgoogle.comへのリクエストに対して許可されているかどうかを確認し、サーバーns.google.comに送信します。 最後に、ローカルサーバーは、必要なリソースのIPアドレスを含む応答を受信し、送信します。







これは、誰もが期待する通常のDNSの動作です。 誰もがデバイスからローカルDNSサーバーにリクエストを送信するだけで十分であると考えているので、すべてのハードワークを実行してから、リクエストに対する回答を得ることができます。 しかし、このプロセスが多くの重要なステップで構成されていると誰もが想像しているわけではありません。



たとえば、デバイスはwww.google.comで回答を見つけようとしますが、ブラウザのクエリバーにそのようなアドレスを正確に入力した場合に限り、最大8つのスライドを必要とするプロセス全体が発生します-www.google .com これは、ルートDNSに関連付けられている完全修飾ドメイン名です。 多くの人は、完全修飾ドメイン名がピリオドで終わると信じていますが、これは真実ではありません。 フルネームの最後にドットが存在することは依然として想定されており、このためトラブルが発生します。 名前の4つのバリエーションを印刷してみましょう。



www.google.com

google.com

www

www.google.com



それぞれがDNSの動作に関して異なる動作をします。 これらはすべてカスタマイズ可能ですが、通常は誰もカスタマイズできません。



そのような状況で実際に何が起こるか見てみましょう。 DNSクエリの送信を決定する前に、クライアントの意思決定に影響を与えるいくつかの要因があります。 これらの2つは、サフィックス検索パスとDNSデボルブです。







どちらにも、動作に影響する多くのカスタマイズ可能なパラメーターがあり、Windowsのバージョンとサービスパックが異なると動作が異なります。



これは、ほとんどの人が検索パスサフィックスを使用する方法です。 会社の名前がfooで、ドメインfoo.comを所有していて、アクティブディレクトリの名前がad.foo.comである場合、検索パスad.foo.comまたはfoo.comのサフィックスを使用して、システムアセンブリのクライアント部分またはグループポリシー。



クライアントの1つが短縮名wwwを解決しようとすると、Windows XPのデフォルトの動作は次のようになります。 最初に彼女はwww.ad.foo.comのパスに沿ってDNSクエリを送信し、次にwww.foo.comのパスに沿って送信し、最後にNetBIOSクエリが続きます-wwwのみ。



www.phx , www.phx , , www.phx.ad.foo.com , www.phx.foo.com . 15 , NetBIOS, www.phx .







Windows, XP sp.3, DNS — www.phx NetBIOS — www.phx , , .







, , , , , . , , Microsoft DNS.



XP , Microsoft XP, DNS Windows DNS . , www, Windows , , , DHCP Active Directory. www.phx.ad.foo.com , , www.ad.foo.com、www.foo.com、最後にwww.comにアクセスすると、すべてが停止します。







18:30 min



DEFCON21。会議DNSは健康に危険を及ぼす可能性があります。 パート2





ご滞在いただきありがとうございます。 私たちの記事が好きですか？ より興味深い資料を見たいですか？ 注文するか、友人に推薦することで、私たちをサポートします。私たちがあなたのために発明したエントリーレベルのサーバーのユニークなアナログのHabrユーザーのために30％の割引： VPS（KVM）E5-2650 v4（6コア）についての真実20ドルまたはサーバーを分割する方法？ （オプションはRAID1およびRAID10、最大24コア、最大40GB DDR4で利用可能です）。



VPS（KVM）E5-2650 v4（6コア）10GB DDR4 240GB SSD 1Gbpsまで 6か月の期間を支払う場合は12月まで無料で 、 ここで注文できます 。



Dell R730xdは2倍安いですか？ オランダと米国で249ドルからIntel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TVを2台持っているだけです！ インフラストラクチャビルの構築方法について読んでください。 クラスRは、1米ドルで9,000ユーロのDell R730xd E5-2650 v4サーバーを使用していますか？