令和元年秋午後Ⅰ問2設問2DNS
広告
あべさんさん
(No.1)
https://www.ipa.go.jp/shiken/mondai-kaiotu/gmcbt8000000dict-att/2019r01a_sc_pm1_qs.pdf
設問2の(4)b(5)が全然理解できなく困っています。
これは、攻撃者はあらかじめ攻撃用のドメインを取得し、攻撃者の用意した権威DNSサーバにC&Cサーバを登録しているってことなんでしょうか。なんか問題文的にC&Cサーバ=権威DNSサーバという感じの文に思えるのですが、勉強した中で、DNSサーバがC&Cサーバっていう問題に出会ったことがないため、混乱しています。
問題文が短すぎて、もう少し、具体的にどのようなフローなのか教えていただきたくお願いします。
それと下記についても、なぜそうなるのかが理解できないので、解説お願いしたいです。
設問2の(4)b(5)が全然理解できなく困っています。
>攻撃者はあらかじめ攻撃用のドメインを取得し、b【権威DNSサーバ】をC&Cサーバとして、インターネット上に用意しておく。
これは、攻撃者はあらかじめ攻撃用のドメインを取得し、攻撃者の用意した権威DNSサーバにC&Cサーバを登録しているってことなんでしょうか。なんか問題文的にC&Cサーバ=権威DNSサーバという感じの文に思えるのですが、勉強した中で、DNSサーバがC&Cサーバっていう問題に出会ったことがないため、混乱しています。
問題文が短すぎて、もう少し、具体的にどのようなフローなのか教えていただきたくお願いします。
それと下記についても、なぜそうなるのかが理解できないので、解説お願いしたいです。
>大量の情報を持ち出す場合、次の特徴が表れる。
>・長いホスト名をもつDNSクエリの発生
>・特定のドメインに対する多数のDNSクエリの発生
2024.03.10 16:43
pixさん
★SC ダイヤモンドマイスター
(No.2)
以下スレッドが参考になると思われますので、ご参照ください。
https://www.sc-siken.com/bbs/1087.html
[1087] 令和元年秋 午後1問2設問2(3)及び(5)
https://www.sc-siken.com/bbs/0939.html
[0939] DNSサーバとDNSサーバのC&C通信の驚異とは
本攻撃はDNSトンネリングと呼ばれるものです。
権威DNSサーバに偽装したC&Cサーバを用意します。
DNSクエリのホスト名の部分に流出したい情報を埋め込んで、攻撃者が用意した
権威DNSサーバに偽装したC&Cサーバへ送信する手法です。
攻撃者の取得したドメインが'CaC.com'と仮定します。
イメージとして通常のDNSクエリは
しかし、DNSトンネリングでは
C&Cサーバへ送信します。
これにより、C&Cサーバはホスト名のように見える部分から機密情報を入手することが
できます。
このDNSクエリは情報を窃取するための目的なので、DNS応答も適当なウソを返します。
ようはDNSクエリというだれでも使える、しかし細い穴を通して、すこしづつ機密情報を
C&Cサーバへ送るということです。
一回のDNSクエリで送信できる情報量は少ないので、多数のDNSクエリを行う傾向があります。
https://www.sc-siken.com/bbs/1087.html
[1087] 令和元年秋 午後1問2設問2(3)及び(5)
https://www.sc-siken.com/bbs/0939.html
[0939] DNSサーバとDNSサーバのC&C通信の驚異とは
本攻撃はDNSトンネリングと呼ばれるものです。
権威DNSサーバに偽装したC&Cサーバを用意します。
DNSクエリのホスト名の部分に流出したい情報を埋め込んで、攻撃者が用意した
権威DNSサーバに偽装したC&Cサーバへ送信する手法です。
攻撃者の取得したドメインが'CaC.com'と仮定します。
イメージとして通常のDNSクエリは
'hostXXX.CaC.com'のIPアドレスは?
というものです。しかし、DNSトンネリングでは
'HostXXX_Koreha_Kimitsu_Jouhou_Kono_System_No_IPAdress_ha_192_168_1_1_desu.CaC.com'のIPアドレスは?
のようなホスト名の部分に機密情報を埋めんだDNSクエリを権威DNSサーバに偽装したC&Cサーバへ送信します。
これにより、C&Cサーバはホスト名のように見える部分から機密情報を入手することが
できます。
このDNSクエリは情報を窃取するための目的なので、DNS応答も適当なウソを返します。
ようはDNSクエリというだれでも使える、しかし細い穴を通して、すこしづつ機密情報を
C&Cサーバへ送るということです。
一回のDNSクエリで送信できる情報量は少ないので、多数のDNSクエリを行う傾向があります。
2024.03.10 17:35
あべさんさん
(No.3)
>pix様
やはり本問題はDNSサーバ=C&Cサーバということなんですね。
クエリに情報を載せる!?かなり難しくなってきましたね。
頑張ってトンネリングを理解していきたいと思います。ご回答ありがとうございました!
2024.03.12 07:11
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告