DNSキャッシュポイズニング とは

勉強前イメージ

攻撃系のやつ？

調査

DNSキャッシュポイズニング とは

DNSのキャッシュサーバに偽の応答をキャッシュさせることで
そのキャッシュを使ったユーザを偽のサイトに誘導する攻撃手法になります。

基本的なDNSの応答は以下になります。

1. クライアントPCからDNSキャッシュサーバに聞きに行く
2. DNSキャッシュサーバはわからないのでルートのDNSサーバに聞きに行く
3. ルートのDNSサーバはわからないのでcomのDNSサーバを教える
4. comのDNSサーバに聞きに行く
5. comのDNSサーバはわからないのでexampleのDNSサーバを教える
6. exampleのDNSサーバに聞きに行く
7. IPアドレスを教えてもらう
8. DNSキャッシュサーバはクライアントPCにIPアドレスを教える
9. ユーザはX.X.X.Xへアクセスを行う
10. DNSキャッシュサーバは一定期間キャッシュする

しかし、DNSキャッシュポイズニングは上記のDNSのキャッシュを利用して
偽の情報をDNSキャッシュサーバに伝えて一定時間キャッシュさせることで
キャッシュを利用したユーザに偽のサイトへ誘導することができます。

1. クライアントPCからDNSキャッシュサーバに聞きに行く
2. DNSキャッシュサーバはわからないのでルートのDNSサーバに聞きに行く
3. ルートのDNSサーバはわからないのでcomのDNSサーバを教える
4. comのDNSサーバに聞きに行く
5. comのDNSサーバはわからないのでexampleのDNSサーバを教える
6. exampleのDNSサーバに聞きに行く
7. IPアドレスを教えてもらう ※ ここで偽サイトのIPを教えられる
8. DNSキャッシュサーバはクライアントPCにIPアドレスを教える
9. ユーザはY.Y.Y.Yへアクセスを行う
10. DNSキャッシュサーバは一定期間キャッシュする ※ ここでDNSキャッシュサーバは偽のIPアドレスをキャッシュしてしまったので他のユーザも一定期間偽サイトにアクセスを行う

※一定期間というのはTTL値によって異なります。

DNSトンネリング との違い

DNSトンネリング とは
DNSの仕組みを利用してサイバー攻撃や情報漏洩に悪用する攻撃ですが、DNSを利用する点は同様です。
DNSトンネリングとの違いは以下になります。

• DNSトンネリング : DNSによってマルウェアなどに感染させること
• DNSキャッシュポイズニング : キャッシュサーバに悪意のある情報を記憶させること

勉強後イメージ

DNSってめっちゃ攻撃に使われてる感じがする・・・・
あとトンネリングとキャッシュポイズニング、途中まで一緒だから難しい

参考

• DNSキャッシュポイズニング
• DNSキャッシュポイズニングとは？対策や最近の状況を解説