conf t

インフラエンジニアのメモ

ARPスプーフィング、DHCPスプーフィング

SCの復習

 

 

 

ARPスプーフィング(ARPキャッシュポイズニング)

■概要

・通信盗聴の手段

・侵入拡大段階で多く用いられる

 

ARPスプーフィングの流れ

1.ARP応答をいち早く返して、偽装したmacアドレスによりARPテーブルを攻撃対象に作らせる

2.攻撃対象は攻撃者の端末へパケットを送出するようになうる

3.攻撃者は攻撃対象から送られてきたパケットを盗聴する

4.盗聴後、攻撃者は正規の送り先へパケットを送出する

 

・Man-In-The-Middle攻撃ができる

 

 

疑問1

 ARP応答を正規の機器よりも早く返答するために、何らかの仕組みがあるのか

→特にないようである

 

 

 

 

ARPスプーフィング対策

ARPテーブルをstaticに登録する

 →ただし、かなりの手間

DHCPスプーフィング

・クライアント-DHCPサーバ間に存在するスイッチに設定する。

 →スイッチにDHCPパケットを検査させる

・ゾーンを分ける

 →DHHCPサーバがいる方をtrust, クライアント側をuntrustとする

 →スイッチはuntrust側からくるDHCPは破棄する

 →DHCPサーバへの成りすましを防ぐ

ARPセキュリティオプションにより、不正なARPパケットを破棄

 

 

 

 

 

DNSキャッシュポイズニング

DNSキャッシュを汚染し、攻撃者のサイトへ誘導する

・古くからある攻撃手法

 

DNSの概要

・2種類に分けられる

 →キャッシュサーバ:問い合わせ結果をキャッシュして負荷を減らす

 →コンテンツサーバ:ドメイン名とIPの対応付けを持っている

・リゾルバ:DNS問い合わせを行うクライアントのこと

・よく利用されるDNSサーバとしてはBINDがある。DARPAの資金によって作成

 (DARPA:ダーパ、

 

DNS流れ

1.キャッシュサーバはリゾルバからのDNS要求に対し、キャッシュがあれば応答する

2.キャッシュがなければ、コンテンツサーバに問い合わせる

 →このとき16bitのトランザクションIDをパケットに付与する。

3.そのコンテンツサーバが持っていれば、返答。なければ上位コンテンツサーバへ聞く

以下その繰り返し

 

 

DNSキャッシュポイズニング攻撃手法

・クライアントとコンテンツサーバ役の攻撃者が必要

1.クライアント役が攻撃対象キャッシュサーバへDNS問い合わせをする

2.攻撃対象キャッシュサーバは、問い合わせのキャッシュを持っていない場合、

 コンテンツサーバへ問い合わせる

3.コンテンツサーバ役の攻撃者が、本物よりも早く返答する

 

※3.では、攻撃者は攻撃対象キャッシュサーバの送信元IP/ポートと、問い合わせの

 トランザクションID(TXID)を知っている必要がある

トランザクションIDは16bitで現在のコンピュータの性能であれば総当たり攻撃が可能

 →昔は大丈夫だった

 →かといって16bitから増やすにはDNSプロトコルそのものを変えねばならない

 →話がそれるがRSA暗号の1024bitも近い将来解読される危険性があるらしい

 →700bitRSAは解読に成功したとか

 

DNSキャッシュポイズニング 対策

・送信元ポートのランダム性を十分にする

DNS問い合わせできるクライアントを絞る

 

根本的解決

・DNSSEC

 →証明書を付与するため、偽装できない

 

 

感想

・何とかスプーフィングって全て悪者の攻撃だと思ってたけど、

 dhcpスプーフィングなどという例外があった