Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Hijack the domain name

978 vues

Publié le

Hijack the domain name

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Hijack the domain name

  1. 1. hijack the domain name which has lame delegation to Amazon Route 53 2019/09/07 @otsuka0752
  2. 2. 自己紹介 ・ダブリン/アイルランドで クラウドのお仕事(以前は目黒) ・クラウドの前はオンプレで オンラインゲームのシステム管理者 ・DNS温泉 第1-4回に参加 DNS温泉 第5回は不参加 DNS温泉 第6-7回はリモートから(?) 2
  3. 3. • tcpreplay.net. が下記のように delegation され • delegation 先の Route 53 NS にはゾーン無し Example 3 $ dig +norec +noall +auth tcpreplay.net. @a.gtld-servers.net. tcpreplay.net. 172800 IN NS ns-66.awsdns-08.com. tcpreplay.net. 172800 IN NS ns-666.awsdns-19.net. tcpreplay.net. 172800 IN NS ns-1066.awsdns-05.org. tcpreplay.net. 172800 IN NS ns-1666.awsdns-16.co.uk.
  4. 4. status: REFUSED 4 $ dig +norec +noall +comments tcpreplay.net. @ns-66.awsdns-08.com. ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 23612 ;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 $ dig +norec +noall +comments tcpreplay.net. @ns-666.awsdns-19.net. ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 22763 ;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 • Route 53 NS は “status: REFUSED" を応答 • Route 53 NS はゾーンを持っていないから
  5. 5. [Q] ハイジャック成功とは? [A] 下記 NS の 1つに tcpreplay.net ゾーンを作成 5 ns-66.awsdns-08.com. ns-666.awsdns-19.net. ns-1066.awsdns-05.org. ns-1666.awsdns-16.co.uk.
  6. 6. ns-66.awsdns-08.com. に tcpreplay.net. を作成します • dig +norec tcpreplay.net. ANY @ns-66.awsdns-08.com. を繰り返し実行してください • (bash)$ while :; do dig +norec tcpreplay.net. ANY @ns-66.awsdns- 08.com.; sleep 2; done • 最初は「status: REFUSED」が、ハイジャック成功後は「status: NOERROR」になり SOA や NS などが応答されます。 Demo.1 6
  7. 7. ns-666.awsdns-19.net. に tcpreplay.net. を作成します • dig +norec tcpreplay.net. ANY @ns-666.awsdns-19.net. を繰り返し実行してください • (bash)$ while :; do dig +norec tcpreplay.net. ANY @ns-666.awsdns- 19.net.; sleep 2; done • 最初は「status: REFUSED」が、ハイジャック成功後は「status: NOERROR」になり SOA や NS などが応答されます。 Demo.2 7
  8. 8. ns-1066.awsdns-05.org. に tcpreplay.net. を作成します • dig +norec tcpreplay.net. ANY @ns-1066.awsdns-05.org. を繰り返し実行してください • (bash)$ while :; do dig +norec tcpreplay.net. ANY @ns-1066.awsdns- 05.org.; sleep 2; done • 最初は「status: REFUSED」が、ハイジャック成功後は「status: NOERROR」になり SOA や NS などが応答されます。 Demo.3 8
  9. 9. ns-1666.awsdns-16.co.uk. に tcpreplay.net. を作成します • dig +norec tcpreplay.net. ANY @ns-1666.awsdns-16.co.uk. を繰り返し実行してください • (bash)$ while :; do dig +norec tcpreplay.net. ANY @ns-1666.awsdns- 16.co.uk.; sleep 2; done • 最初は「status: REFUSED」が、ハイジャック成功後は「status: NOERROR」になり SOA や NS などが応答されます。 Demo.4 9
  10. 10. Under the Hood of Amazon Route 53 (ARC408-R1) - AWS re:Invent 2018 https://www.slideshare.net/AmazonWebServices/under-the-hood-of-amazon- route-53-arc408r1-aws-reinvent-2018 10 参考情報
  11. 11. A Route 53 delegation set: gavinmc.com. 172800 IN NS ns-190.awsdns-23.com. gavinmc.com. 172800 IN NS ns-1084.awsdns-07.org. gavinmc.com. 172800 IN NS ns-1831.awsdns-36.co.uk. gavinmc.com. 172800 IN NS ns-634.awsdns-15.net. DNS resolvers retry against each NS Each data plane (“stripe”) is one /23 subnet, routed independently Our stripes deployed, operated separately 参考情報 / Redundant data planes 11
  12. 12. Shuffle sharding Route 53 Route 53 has 512x nameservers per stripe Every hosted zone gets one NS on each stripe 参考情報 / Shuffle sharding Route 53 12
  13. 13. 4つのストライプ(.com .net .org .co.uk)にそれぞれ 512 #0 ns-0.awsdns-00.com. ns-512.awsdns-00.net. ns-1024.awsdns-00.org. ns-1536.awsdns-00.co.uk. #1 ns-1.awsdns-00.com. ns-513.awsdns-00.net. ns-1025.awsdns-00.org. ns-1537.awsdns-00.co.uk. #2 ns-2.awsdns-00.com. ns-514.awsdns-00.net. ns-1026.awsdns-00.org. ns-1538.awsdns-00.co.uk. #3 ns-3.awsdns-00.com. ns-515.awsdns-00.net. ns-1027.awsdns-00.org. ns-1539.awsdns-00.co.uk. #4 ns-4.awsdns-00.com. ns-516.awsdns-00.net. ns-1028.awsdns-00.org. ns-1540.awsdns-00.co.uk. #5 ns-5.awsdns-00.com. ns-517.awsdns-00.net. ns-1029.awsdns-00.org. ns-1541.awsdns-00.co.uk. #6 ns-6.awsdns-00.com. ns-518.awsdns-00.net. ns-1030.awsdns-00.org. ns-1542.awsdns-00.co.uk. #7 ns-7.awsdns-00.com. ns-519.awsdns-00.net. ns-1031.awsdns-00.org. ns-1543.awsdns-00.co.uk. #8 ns-8.awsdns-01.com. ns-520.awsdns-01.net. ns-1032.awsdns-01.org. ns-1544.awsdns-01.co.uk. #9 ns-9.awsdns-01.com. ns-521.awsdns-01.net. ns-1033.awsdns-01.org. ns-1545.awsdns-01.co.uk. #10 ns-10.awsdns-01.com. ns-522.awsdns-01.net. ns-1034.awsdns-01.org. ns-1546.awsdns-01.co.uk. #11 ns-11.awsdns-01.com. ns-523.awsdns-01.net. ns-1035.awsdns-01.org. ns-1547.awsdns-01.co.uk. ... #501 ns-501.awsdns-62.com. ns-1013.awsdns-62.net. ns-1525.awsdns-62.org. ns-2037.awsdns-62.co.uk. #502 ns-502.awsdns-62.com. ns-1014.awsdns-62.net. ns-1526.awsdns-62.org. ns-2038.awsdns-62.co.uk. #503 ns-503.awsdns-62.com. ns-1015.awsdns-62.net. ns-1527.awsdns-62.org. ns-2039.awsdns-62.co.uk. #504 ns-504.awsdns-63.com. ns-1016.awsdns-63.net. ns-1528.awsdns-63.org. ns-2040.awsdns-63.co.uk. #505 ns-505.awsdns-63.com. ns-1017.awsdns-63.net. ns-1529.awsdns-63.org. ns-2041.awsdns-63.co.uk. #506 ns-506.awsdns-63.com. ns-1018.awsdns-63.net. ns-1530.awsdns-63.org. ns-2042.awsdns-63.co.uk. #507 ns-507.awsdns-63.com. ns-1019.awsdns-63.net. ns-1531.awsdns-63.org. ns-2043.awsdns-63.co.uk. #508 ns-508.awsdns-63.com. ns-1020.awsdns-63.net. ns-1532.awsdns-63.org. ns-2044.awsdns-63.co.uk. #509 ns-509.awsdns-63.com. ns-1021.awsdns-63.net. ns-1533.awsdns-63.org. ns-2045.awsdns-63.co.uk. #510 ns-510.awsdns-63.com. ns-1022.awsdns-63.net. ns-1534.awsdns-63.org. ns-2046.awsdns-63.co.uk. #511 ns-511.awsdns-63.com. ns-1023.awsdns-63.net. ns-1535.awsdns-63.org. ns-2047.awsdns-63.co.uk. https://gist.github.com/otsuka752/34ec7aa2a0315b02fb4e3eb0f449b8fd Amazon Route 53 の NS 13
  14. 14. #0 から #2047 の 2048種類 #0 ns-0.awsdns-00.com. 205.251.192.0 #1 ns-1.awsdns-00.com. 205.251.192.1 #2 ns-2.awsdns-00.com. 205.251.192.2 #3 ns-3.awsdns-00.com. 205.251.192.3 #4 ns-4.awsdns-00.com. 205.251.192.4 #5 ns-5.awsdns-00.com. 205.251.192.5 #6 ns-6.awsdns-00.com. 205.251.192.6 #7 ns-7.awsdns-00.com. 205.251.192.7 ... #2042 ns-2042.awsdns-63.co.uk. 205.251.199.250 #2043 ns-2043.awsdns-63.co.uk. 205.251.199.251 #2044 ns-2044.awsdns-63.co.uk. 205.251.199.252 #2045 ns-2045.awsdns-63.co.uk. 205.251.199.253 #2046 ns-2046.awsdns-63.co.uk. 205.251.199.254 #2047 ns-2047.awsdns-63.co.uk. 205.251.199.255 https://gist.github.com/otsuka752/993b1851d5772f72c161effb6eb1a23e Amazon Route 53 の NS 14
  15. 15. 0 から 2047 の番号と好きなドメイン名を言ってください • dig +norec (ドメイン名) ANY @(#0 から #2047 に相当する NS) を繰り返し実行してください Demo.5 15
  16. 16. any requests? Demo.6 16
  17. 17. END 17

×