web-dev-qa-db-ja.com

DNSSECMITM攻撃

DNSSECがMITM攻撃の影響を受けない理由は何ですか?

Example.comのキーに署名して、実際のソースから取得する前に、解決するネームサーバーまたはクライアントにこれを取得できないのはなぜですか?

5
Bill Gray

MITMは不可能ではありません、それはただもっと多くの努力を必要とします。キースとニックが指摘した整合性検証プロセスのため、ターゲットのexample.comドメインだけでなく、.comともスプーフィングする必要があります。 (署名されたら)。つまり、単純なキャッシュポイズニングは機能しなくなり、ターゲットのリゾルバーストリーム全体を完全に破壊する必要があります。

多くの点でSSLのように機能します。ルートドメインには、子ドメイン(この場合は.com)リゾルバーが本当に正しいリゾルバーであることを確認するために使用される委任署名者レコードがあります。これは、ホスト名に到達するまで、子ドメインごとに繰り返されます。実際の検証プロセスは逆に機能し、符号なしレベルに到達してそこから検証するまでツリーを上っていきます。 DNS攻撃者が成功するには、リゾルバーツリー全体を署名されたルート(.comまたは。)まで偽造する必要があります。これが、DNSルートに署名することが非常に重要である理由です。

DNSSECがセキュリティを向上させる方法の多くは、不良データをリゾルバーキャッシュにフィードすることを非常に困難にし、クライアントと正当なリゾルバー間のDNSトランザクションプロセスでゲームをプレイすることへの抵抗を改善することです。完全に侵害されたDNSサーバーは、DNSSECを使用している場合でも不良データを返します。また、ネットワーク上でDNS要求を書き換えるインラインプロキシは、意図したものだけでなく、すべてのDNS要求を偽造する必要がありますが、これは解決が難しい問題です。一般に;そもそも所定の位置に配置するのが難しいだけでなく。

7
sysadmin1138

この記事では少し説明しています 。簡単な抜粋:DNSSECとは何ですか?

  • DNSSECは、DNSリソースレコードとプロトコルを変更して、ドメイン名リゾルバーとネームサーバー間で行われるクエリと応答のトランザクションにセキュリティを提供する、提案されたインターネット標準です。具体的には、DNSSECが提供するセキュリティには次のものが含まれます。

  • 整合性検証:DNSリゾルバーは、ネームサーバーから受信した情報が転送中に改ざんされていないことを確認できますソース認証:DNSリゾルバーは、受信した情報が権威ネームサーバーから発信されたものであると判断できます

  • 認証された存在の拒否:DNSリゾルバーは、信頼できるネームサーバーにDNSレコードが実際に存在しないため、特定のクエリが解決できないことを確認できます。

4
Keith