DNS cache poisoning report.
DNS キャッシュ中毒報告。
For background you may wish to review this report http://isc.sans.org/presentations/dnspoisoning.php
バックグラウンドのためにあなたはこの報告 http://isc.sans.org/presentations/dnspoisoning.php を再検討することを望むかもしれません
and this issue about BIND 4 or 8 not being suitable as forwarders http://isc.sans.org/diary.php?date=2005-04-28
そして BIND 4あるいは8についてのこの問題が forwarders http://isc.sans.org/diary.php?date=2005-04-28 として適当である
Next, a request. PLEASE review your dns servers logs and cache for 65.23.154.2 If you find it listed as authoritative for .com please send us an email with a dump of the dns cache. Directions for dumping, cleaning and protecting your cache are available in the write-up above.
次の、リクエストの。 どうかあなたの dns サーバーログを再検討してください、そうすれば65.23.154.2のためのキャッシュがもしあなたがそれが .com のために正式であると記載されているのを見いだすなら dns キャッシュのダンプでどうか我々に電子メールを送ります。 あなたのキャッシュをダンプして、きれいにして、そして守ることに対して、ディレクションは上記の批評記事で利用可能です。
Serverhome.com (65.23.154.2) is being reported for Kashpureff-style cache poisoning for the .com TLD.
Serverhome.com (65.23.154.2)は Kashpureff 式のキャッシュ中毒のために .com TLD のという理由で届け出られています。
This report shows there are about 16k domains hosted on this server.
この報告はこのサーバーでホストされたドメインが 16k についてあることを示します。
http://www.ipwalk.com/webhost/total_domains/webhost_name/serverhome.com
http://www.ipwalk.com/webhost/total_domains/webhost_name/serverhome.com
Be careful if you look up one of those domains there is a good chance you will see extra RR records including ones that claim they are authoritative for .com.
もしあなたがあなたが余分のRRを見るであろうという高い可能性が(彼・それ)らが .com のために正式であると主張する(の・もの・人)を含めて記録する存在するそれらのドメインの1つを検索するなら、注意深くしてください。
Sample packet showing the cache poisoning in action. Note the extra .com servers.
活動中キャッシュ中毒を見せているサンプルパケット。 余分の .com サーバーに気付いてください。
DNS キャッシュ中毒報告。
For background you may wish to review this report http://isc.sans.org/presentations/dnspoisoning.php
バックグラウンドのためにあなたはこの報告 http://isc.sans.org/presentations/dnspoisoning.php を再検討することを望むかもしれません
and this issue about BIND 4 or 8 not being suitable as forwarders http://isc.sans.org/diary.php?date=2005-04-28
そして BIND 4あるいは8についてのこの問題が forwarders http://isc.sans.org/diary.php?date=2005-04-28 として適当である
Next, a request. PLEASE review your dns servers logs and cache for 65.23.154.2 If you find it listed as authoritative for .com please send us an email with a dump of the dns cache. Directions for dumping, cleaning and protecting your cache are available in the write-up above.
次の、リクエストの。 どうかあなたの dns サーバーログを再検討してください、そうすれば65.23.154.2のためのキャッシュがもしあなたがそれが .com のために正式であると記載されているのを見いだすなら dns キャッシュのダンプでどうか我々に電子メールを送ります。 あなたのキャッシュをダンプして、きれいにして、そして守ることに対して、ディレクションは上記の批評記事で利用可能です。
Serverhome.com (65.23.154.2) is being reported for Kashpureff-style cache poisoning for the .com TLD.
Serverhome.com (65.23.154.2)は Kashpureff 式のキャッシュ中毒のために .com TLD のという理由で届け出られています。
This report shows there are about 16k domains hosted on this server.
この報告はこのサーバーでホストされたドメインが 16k についてあることを示します。
http://www.ipwalk.com/webhost/total_domains/webhost_name/serverhome.com
http://www.ipwalk.com/webhost/total_domains/webhost_name/serverhome.com
Be careful if you look up one of those domains there is a good chance you will see extra RR records including ones that claim they are authoritative for .com.
もしあなたがあなたが余分のRRを見るであろうという高い可能性が(彼・それ)らが .com のために正式であると主張する(の・もの・人)を含めて記録する存在するそれらのドメインの1つを検索するなら、注意深くしてください。
Sample packet showing the cache poisoning in action. Note the extra .com servers.
活動中キャッシュ中毒を見せているサンプルパケット。 余分の .com サーバーに気付いてください。
No. Time Source Destination Protocol Info
19 12.201047 65.23.154.2 192.168.0.3 DNS Standard query response A 65.23.154.2
Frame 19 (542 bytes on wire, 542 bytes captured)
Ethernet II, Src: Actionte_58:9d:0a (00:0f:b3:58:9d:0a), Dst: HonHaiPr_1d:cc:b4 (00:14:a4:1d:cc:b4)
Internet Protocol, Src: 65.23.154.2 (65.23.154.2), Dst: 192.168.0.3 (192.168.0.3)
User Datagram Protocol, Src Port: domain (53), Dst Port: 3918 (3918)
Domain Name System (response)
Transaction ID: 0x0029
Flags: 0x8580 (Standard query response, No error)
Questions: 1
Answer RRs: 1
Authority RRs: 15
Additional RRs: 10
Queries
www.ibm.com: type A, class IN
Answers
www.ibm.com: type A, class IN, addr 65.23.154.2
Name: www.ibm.com
Type: A (Host address)
Class: IN (0x0001)
Time to live: 1 day
Data length: 4
Addr: 65.23.154.2
Authoritative nameservers
com: type NS, class IN, ns a.gtld-servers.net
Name: com
Type: NS (Authoritative name server)
Class: IN (0x0001)
Time to live: 1 day
Data length: 20
Name server: a.gtld-servers.net
<SNIP b-m gtld-server list >
com: type NS, class IN, ns ns1.serverhome.com
Name: com
Type: NS (Authoritative name server)
Class: IN (0x0001)
Time to live: 1 day
Data length: 17
Name server: ns1.serverhome.com
com: type NS, class IN, ns ns2.serverhome.com
Name: com
Type: NS (Authoritative name server)
Class: IN (0x0001)
Time to live: 1 day
Data length: 6
Name server: ns2.serverhome.com
Additional records
a.gtld-servers.net: type A, class IN, addr 192.5.6.30
Name: a.gtld-servers.net
Type: A (Host address)
Class: IN (0x0001)
Time to live: 1 day, 21 hours, 4 minutes, 21 seconds
Data length: 4
Addr: 192.5.6.30
<SNIP b-gtld – g-gtld>
h.gtld-servers.net: type A, class IN, addr 192.54.112.30
Name: h.gtld-servers.net
Type: A (Host address)
Class: IN (0x0001)
Time to live: 1 day, 21 hours, 4 minutes, 21 seconds
Data length: 4
Addr: 192.54.112.30
19 12.201047 65.23.154.2 192.168.0.3 DNS Standard query response A 65.23.154.2
Frame 19 (542 bytes on wire, 542 bytes captured)
Ethernet II, Src: Actionte_58:9d:0a (00:0f:b3:58:9d:0a), Dst: HonHaiPr_1d:cc:b4 (00:14:a4:1d:cc:b4)
Internet Protocol, Src: 65.23.154.2 (65.23.154.2), Dst: 192.168.0.3 (192.168.0.3)
User Datagram Protocol, Src Port: domain (53), Dst Port: 3918 (3918)
Domain Name System (response)
Transaction ID: 0x0029
Flags: 0x8580 (Standard query response, No error)
Questions: 1
Answer RRs: 1
Authority RRs: 15
Additional RRs: 10
Queries
www.ibm.com: type A, class IN
Answers
www.ibm.com: type A, class IN, addr 65.23.154.2
Name: www.ibm.com
Type: A (Host address)
Class: IN (0x0001)
Time to live: 1 day
Data length: 4
Addr: 65.23.154.2
Authoritative nameservers
com: type NS, class IN, ns a.gtld-servers.net
Name: com
Type: NS (Authoritative name server)
Class: IN (0x0001)
Time to live: 1 day
Data length: 20
Name server: a.gtld-servers.net
<SNIP b-m gtld-server list >
com: type NS, class IN, ns ns1.serverhome.com
Name: com
Type: NS (Authoritative name server)
Class: IN (0x0001)
Time to live: 1 day
Data length: 17
Name server: ns1.serverhome.com
com: type NS, class IN, ns ns2.serverhome.com
Name: com
Type: NS (Authoritative name server)
Class: IN (0x0001)
Time to live: 1 day
Data length: 6
Name server: ns2.serverhome.com
Additional records
a.gtld-servers.net: type A, class IN, addr 192.5.6.30
Name: a.gtld-servers.net
Type: A (Host address)
Class: IN (0x0001)
Time to live: 1 day, 21 hours, 4 minutes, 21 seconds
Data length: 4
Addr: 192.5.6.30
<SNIP b-gtld – g-gtld>
h.gtld-servers.net: type A, class IN, addr 192.54.112.30
Name: h.gtld-servers.net
Type: A (Host address)
Class: IN (0x0001)
Time to live: 1 day, 21 hours, 4 minutes, 21 seconds
Data length: 4
Addr: 192.54.112.30
I provided this information to the hosting provider Rackmounted.Com. They stated that
私はホスティング機能プロバイダ Rackmounted.Com にこのインフォメーションを提供しました。 (彼・それ)らはそれを述べました
"Returning unexpected answers to queries that will never occur in the wild is not abuse"
「決して荒野で起こらないであろう問合せへの意外な応答を返すことは虐待ではありません」
So I did a dig for serverhome.com a domain they own.
それで私は serverhome.com のために発掘現場に(彼・それ)らが所有するドメインをなしました。
私はホスティング機能プロバイダ Rackmounted.Com にこのインフォメーションを提供しました。 (彼・それ)らはそれを述べました
"Returning unexpected answers to queries that will never occur in the wild is not abuse"
「決して荒野で起こらないであろう問合せへの意外な応答を返すことは虐待ではありません」
So I did a dig for serverhome.com a domain they own.
それで私は serverhome.com のために発掘現場に(彼・それ)らが所有するドメインをなしました。
dig @65.23.154.2 serverhome.com
; <<>> DiG 9.2.1 <<>> @65.23.154.2 serverhome.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8745
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 15,
ADDITIONAL: 2
;; QUESTION SECTION:
;serverhome.com. IN A
;; ANSWER SECTION:
serverhome.com. 86400 IN A 65.23.154.2
;; AUTHORITY SECTION:
com. 86400 IN NS i.gtld-servers.net.
com. 86400 IN NS j.gtld-servers.net.
com. 86400 IN NS k.gtld-servers.net.
com. 86400 IN NS l.gtld-servers.net.
com. 86400 IN NS m.gtld-servers.net.
com. 86400 IN NS ns1.serverhome.com.
com. 86400 IN NS ns2.serverhome.com.
com. 86400 IN NS a.gtld-servers.net.
com. 86400 IN NS b.gtld-servers.net.
com. 86400 IN NS c.gtld-servers.net.
com. 86400 IN NS d.gtld-servers.net.
com. 86400 IN NS e.gtld-servers.net.
com. 86400 IN NS f.gtld-servers.net.
com. 86400 IN NS g.gtld-servers.net.
com. 86400 IN NS h.gtld-servers.net.
;; ADDITIONAL SECTION:
ns1.serverhome.com. 86400 IN A 65.23.154.2
ns2.serverhome.com. 86400 IN A 65.23.154.2
Highlights from the original Email thread reportng a DNS cache poisoning event.
オリジナルの電子メールスレッド reportng から DNS キャッシュ中毒イベントを強調します。
"I have been investigating a DNS problem my company experienced late
「私は(今まで)私の会社が遅れて経験した DNS 問題を調査していました
last week. Users were reporting that no matter what site they attempted to access they would receive a page indicating that the domain was for sale.
先週。 ユーザーが(彼・それ)らがどんなサイトにアクセスしようと試みたかにかかわらず(彼・それ)らがドメインが売りに出されたことを示しているページを受け取るであろうと報告していました。
I did some basic troubleshooting and found that all requests that were resolved against our internal DNS server were answered with the same address 65.23.154.2. I began digging in the DNS logs and found that NS record for the "com." zone had been inserted at what seemed to be a higher priority then the common TLD servers in the "com." domain.
私はいずれかの基本的なトラブル・シューティングをして、そして我々の内部 DNS サーバーに対して解決されたすべてのリクエストが同じアドレス65.23.154.2で答えられたことに気付きました。 私は DNS ログで堀り始めて、そして「com してください」地域のその NS レコードが(すでに)より高いプライオリティそれで共通の TLD サーバーであるように思われたもので「com してください」ドメインに挿入されていたことに気付きました。
After the cache became corrupted it caused our internal name servers to query 65.23.154.2 as a name server for the "com." zone. It would reply with the 65.23.154.2 address to any request that was requested.
キャッシュがだめになった後、「com してください」ゾーンのためにネームサーバーとして65.23.154.2を尋ねることは我々の内部のネームサーバーを起こしました。 それは65.23.154.2のアドレスで求められたどんなリクエストにでも答えるでしょう。
I was out of town at the time of the event and without understanding what it was I was
私はイベントの時点で旅行中で不在でした、そしてそれが何であったか理解しないで私はそうでした
dealing with I blocked access to 65.23.154.2 at our firewall, cleared the cache on all internal DNS servers and cleared the cache on our proxy.
1を扱うことは我々のファイアウォールにおいて65.23.154.2へのアクセスを阻止して、すべての内部 DNS サーバーでキャッシュをクリアして、そして我々のプロクシでキャッシュをクリアしました。
I then contacted the ISP and left word that I thought they may have
私はそれから ISP と連絡を取って、そして私が(彼・それ)らが持っているかもしれないと思った知らせを残しました
a misconfigured host on their network but I did not receive a response.
(彼・それ)らのネットワーク上の間違えて構成を設定されたホスト、しかし私は回答を受けませんでした。
Today, I was able to find the time to confirm these findings in a VM environment that I placed on our external network. The server is a MS Windows 2003 with SP1 installed and the "secure cache against pollution" check box was enabled.
今日、私は私が我々の外部ネットワークに対して与えたVM環境でこれらの発見を確認するタイムを見いだすことが可能でした。 サーバーは、 SP1 がインストールするという状態で、MS Windows 2003です、そして「汚染に対しての安全なキャッシュ」チェックボックスは使用可能でした。
I contacted MY_ISP yesterday and inquired as to what version of DNS they
私は昨日 MY_ISP と連絡を取って、そしてどんな DNS のバージョンについて尋ねた(彼・それ)ら
were running on our forwarders. They would only admit that they had
我々の forwarders 上で走っていました。 (彼・それ)らはただ(彼・それ)らが(すでに)そうしていたことを認めるだけでしょう
version(8.something) and seem quite defensive about the notion that they
バージョン(8.something)と概念について非常にディフェンスに思われますそれ(彼・それ)ら
had forwarded corrupt cache info that caused my company so much trouble
私の会社にそれほど多くの問題をもたらした不正なキャッシュインフォメーションを転送しました
late last week. It seemed as if they were insistent on saying that
先週遅く。 (彼・それ)らがそれを言うことを強く主張しているかのように思われました
their cache was not corrupted. I tried to explain that I didn't think
(彼・それ)らのキャッシュはだめになりませんでした。 私は私が考えなかったと説明しようとしました
that it was only that poisoned authority records had been passed to us
それがただ汚染された当局レコードが(すでに)我々に手渡されていたことだけということであったこと
from them as a result of an authoritative response from a malicious
(彼・それ)らから正式な応答の結果としてから悪意があります
server.
サーバー。
I am going to recommend that my company install its own DNS cache servers in our DMZ running the latest version of BIND and to NOT allow internal DNS servers to conduct recursive lookups."
私は私の会社がそれ自身の DNS キャッシュサーバーを BIND の、我々の DMZ を走っている最新のバージョンにインストールすることを勧めて、そして内部の DNS サーバーに回帰的なルックアップを行なうことを許さないために行きます。」
Additional DNS information.
追加の DNS インフォメーション。
There are a lot of other systems that are currently setup to do dns cache poisoning.
dns キャッシュ中毒をする現在セットアップである多くの他のシステムがあります。
http://dns.measurement-factory.com/surveys/200603-poison.txt
Cornell did a dns survey their report is available here:
コーネルはここで利用可能で(彼・それ)らの報告がそうである dns 調査をしました:
http://www.cs.cornell.edu/People/egs/beehive/dnssurvey.html
ISC.com's DNS survey results
ISC.com の DNS 調査結果
http://www.isc.org/index.pl?/ops/ds/
; <<>> DiG 9.2.1 <<>> @65.23.154.2 serverhome.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8745
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 15,
ADDITIONAL: 2
;; QUESTION SECTION:
;serverhome.com. IN A
;; ANSWER SECTION:
serverhome.com. 86400 IN A 65.23.154.2
;; AUTHORITY SECTION:
com. 86400 IN NS i.gtld-servers.net.
com. 86400 IN NS j.gtld-servers.net.
com. 86400 IN NS k.gtld-servers.net.
com. 86400 IN NS l.gtld-servers.net.
com. 86400 IN NS m.gtld-servers.net.
com. 86400 IN NS ns1.serverhome.com.
com. 86400 IN NS ns2.serverhome.com.
com. 86400 IN NS a.gtld-servers.net.
com. 86400 IN NS b.gtld-servers.net.
com. 86400 IN NS c.gtld-servers.net.
com. 86400 IN NS d.gtld-servers.net.
com. 86400 IN NS e.gtld-servers.net.
com. 86400 IN NS f.gtld-servers.net.
com. 86400 IN NS g.gtld-servers.net.
com. 86400 IN NS h.gtld-servers.net.
;; ADDITIONAL SECTION:
ns1.serverhome.com. 86400 IN A 65.23.154.2
ns2.serverhome.com. 86400 IN A 65.23.154.2
Highlights from the original Email thread reportng a DNS cache poisoning event.
オリジナルの電子メールスレッド reportng から DNS キャッシュ中毒イベントを強調します。
"I have been investigating a DNS problem my company experienced late
「私は(今まで)私の会社が遅れて経験した DNS 問題を調査していました
last week. Users were reporting that no matter what site they attempted to access they would receive a page indicating that the domain was for sale.
先週。 ユーザーが(彼・それ)らがどんなサイトにアクセスしようと試みたかにかかわらず(彼・それ)らがドメインが売りに出されたことを示しているページを受け取るであろうと報告していました。
I did some basic troubleshooting and found that all requests that were resolved against our internal DNS server were answered with the same address 65.23.154.2. I began digging in the DNS logs and found that NS record for the "com." zone had been inserted at what seemed to be a higher priority then the common TLD servers in the "com." domain.
私はいずれかの基本的なトラブル・シューティングをして、そして我々の内部 DNS サーバーに対して解決されたすべてのリクエストが同じアドレス65.23.154.2で答えられたことに気付きました。 私は DNS ログで堀り始めて、そして「com してください」地域のその NS レコードが(すでに)より高いプライオリティそれで共通の TLD サーバーであるように思われたもので「com してください」ドメインに挿入されていたことに気付きました。
After the cache became corrupted it caused our internal name servers to query 65.23.154.2 as a name server for the "com." zone. It would reply with the 65.23.154.2 address to any request that was requested.
キャッシュがだめになった後、「com してください」ゾーンのためにネームサーバーとして65.23.154.2を尋ねることは我々の内部のネームサーバーを起こしました。 それは65.23.154.2のアドレスで求められたどんなリクエストにでも答えるでしょう。
I was out of town at the time of the event and without understanding what it was I was
私はイベントの時点で旅行中で不在でした、そしてそれが何であったか理解しないで私はそうでした
dealing with I blocked access to 65.23.154.2 at our firewall, cleared the cache on all internal DNS servers and cleared the cache on our proxy.
1を扱うことは我々のファイアウォールにおいて65.23.154.2へのアクセスを阻止して、すべての内部 DNS サーバーでキャッシュをクリアして、そして我々のプロクシでキャッシュをクリアしました。
I then contacted the ISP and left word that I thought they may have
私はそれから ISP と連絡を取って、そして私が(彼・それ)らが持っているかもしれないと思った知らせを残しました
a misconfigured host on their network but I did not receive a response.
(彼・それ)らのネットワーク上の間違えて構成を設定されたホスト、しかし私は回答を受けませんでした。
Today, I was able to find the time to confirm these findings in a VM environment that I placed on our external network. The server is a MS Windows 2003 with SP1 installed and the "secure cache against pollution" check box was enabled.
今日、私は私が我々の外部ネットワークに対して与えたVM環境でこれらの発見を確認するタイムを見いだすことが可能でした。 サーバーは、 SP1 がインストールするという状態で、MS Windows 2003です、そして「汚染に対しての安全なキャッシュ」チェックボックスは使用可能でした。
I contacted MY_ISP yesterday and inquired as to what version of DNS they
私は昨日 MY_ISP と連絡を取って、そしてどんな DNS のバージョンについて尋ねた(彼・それ)ら
were running on our forwarders. They would only admit that they had
我々の forwarders 上で走っていました。 (彼・それ)らはただ(彼・それ)らが(すでに)そうしていたことを認めるだけでしょう
version(8.something) and seem quite defensive about the notion that they
バージョン(8.something)と概念について非常にディフェンスに思われますそれ(彼・それ)ら
had forwarded corrupt cache info that caused my company so much trouble
私の会社にそれほど多くの問題をもたらした不正なキャッシュインフォメーションを転送しました
late last week. It seemed as if they were insistent on saying that
先週遅く。 (彼・それ)らがそれを言うことを強く主張しているかのように思われました
their cache was not corrupted. I tried to explain that I didn't think
(彼・それ)らのキャッシュはだめになりませんでした。 私は私が考えなかったと説明しようとしました
that it was only that poisoned authority records had been passed to us
それがただ汚染された当局レコードが(すでに)我々に手渡されていたことだけということであったこと
from them as a result of an authoritative response from a malicious
(彼・それ)らから正式な応答の結果としてから悪意があります
server.
サーバー。
I am going to recommend that my company install its own DNS cache servers in our DMZ running the latest version of BIND and to NOT allow internal DNS servers to conduct recursive lookups."
私は私の会社がそれ自身の DNS キャッシュサーバーを BIND の、我々の DMZ を走っている最新のバージョンにインストールすることを勧めて、そして内部の DNS サーバーに回帰的なルックアップを行なうことを許さないために行きます。」
Additional DNS information.
追加の DNS インフォメーション。
There are a lot of other systems that are currently setup to do dns cache poisoning.
dns キャッシュ中毒をする現在セットアップである多くの他のシステムがあります。
http://dns.measurement-factory.com/surveys/200603-poison.txt
Cornell did a dns survey their report is available here:
コーネルはここで利用可能で(彼・それ)らの報告がそうである dns 調査をしました:
http://www.cs.cornell.edu/People/egs/beehive/dnssurvey.html
ISC.com's DNS survey results
ISC.com の DNS 調査結果
http://www.isc.org/index.pl?/ops/ds/
(出展:SANS)