• Twitterでシェア
  • Facebookでシェア

DNSリバインディング(DNS Rebinding)対策総まとめ

テクノロジー カテゴリーの変更を依頼 記事元:blog.tokumaru.org
適切な情報に変更
484users がブックマーク コメント 30
    共有

    • 記事へのコメント30

    • 注目コメント
    • 新着コメント
    その他
    ockeghem
    DNSリバインディングについて、ブラウザ、PROXY、リゾルバの対応状況と、対策の考え方についてまとめました

    その他
    dollarss
    権威ある人がこうして対策記事を書いてくれる事には本当に頭が下がる。

    その他
    oldriver
    DNSリバインディングを初めて知ったのは(そして多分世に広く知られるようになったのも)ガラケー時代のこと、徳丸さんによる「かんたんログイン」についての研究でした。 https://www.eg-secure.co.jp/blog//20091124/

    その他
    knjname
    社内ネットワークにHTTPSなサイト作りたい場合とか、DDNSでDHCPされたプライベートIPを解決させたい場合は、普通にパブリックな権威にプライベートIP載せるよ

    その他
    sasashin
    q「結局のところ、 社内ネットワークといえども認証とアクセス制御をきちんとやる この当たり前のことをちゃんとやっていれば大丈夫です。」

    その他
    daishi_n
    公開DNSにプライベートIPを登録するのはAWSのRDSなどの接続エンドポイントがそうだよ。この方法だと公開DNSで名前解決できればオンプレ環境から容易に名前解決できるのと、過去のEC2-Classic時代との互換性の両面だったはず

    その他
    azzr
    イントラ内でもhttpsにしてあれば、ついでに防御できてるという認識。ルーターとかが無防備な可能性があるのはまずい気がする。

    その他
    mizdra
    なるほどー

    その他
    tmatsuu
    おーめっちゃわかりやすい。そしてとても巧妙だ。

    その他
    efcl
    DNS裏バインディングの解説と各レイヤーの対策について。 個人端末からのアクセス、SSRF攻撃に利用される。 ブラウザのDNS Pinning、DNSサーバの対応などについて

    その他
    nilab
    DNSリバインディング(DNS Rebinding)対策総まとめ | 徳丸浩の日記

    その他
    field_combat
    こんな方法があるんか。イントラ内のハードウェアが主な攻撃対象

    その他
    haruyato
    これはCisco UmbrellaとかのDNSセキュリティーで防げるものなの?

    その他
    mohno
    「DNSリバインディングはDNS問い合わせの時間差を利用した攻撃」/めんどくさそうなので、あとで読み直さないと。

    その他
    asuka0801
    リモートワークが当たり前になってくるとゼロトラストが常識化してくるので、そのうちDNSリバインディング攻撃自体が成立する条件が減ってくるかもしれない。危ないのはやはりまだ業務でIE使ってるような業種ですかね

    その他
    kasahannra
    後で読む

    その他
    hdkINO33
    “社内ネットワークといえども認証とアクセス制御をきちんとやる”

    その他
    azzr
    azzr イントラ内でもhttpsにしてあれば、ついでに防御できてるという認識。ルーターとかが無防備な可能性があるのはまずい気がする。

    2022/05/16 リンク

    その他
    knjname
    knjname 社内ネットワークにHTTPSなサイト作りたい場合とか、DDNSでDHCPされたプライベートIPを解決させたい場合は、普通にパブリックな権威にプライベートIP載せるよ

    2022/05/16 リンク

    その他
    takuya_1st
    広告ブロック関連どうするの?

    その他
    daishi_n
    daishi_n 公開DNSにプライベートIPを登録するのはAWSのRDSなどの接続エンドポイントがそうだよ。この方法だと公開DNSで名前解決できればオンプレ環境から容易に名前解決できるのと、過去のEC2-Classic時代との互換性の両面だったはず

    2022/05/16 リンク

    その他
    door-s-dev
    知らないやつだ。後で読もう

    その他
    crexist
    ほぇー、こんな手口があるのか。

    その他
    rna
    公開DNSにプライベートIPアドレス登録できるんだ… 何か正当な用途ってあるんだろうか?

    その他
    oldriver
    oldriver DNSリバインディングを初めて知ったのは(そして多分世に広く知られるようになったのも)ガラケー時代のこと、徳丸さんによる「かんたんログイン」についての研究でした。 https://www.eg-secure.co.jp/blog//20091124/

    2022/05/16 リンク

    その他
    tkmkg8m
    “まずは攻撃可能性の洗い出しと、ローカルネットワークでも認証をおろそかにしないという基本的な対策を推奨”

    その他
    umakoya
    罠サイトを見た瞬間にIPが変えられてイントラ情報を抜き出すってことか……?理解が追いつかない。ピンポイントな標的攻撃なのか?

    その他
    tomoyarn
    この方法ならWebサーバー側のログがおかしなことになりそうだけど、そういうのって検知するのは難しいのかな。

    その他
    sasashin
    sasashin q「結局のところ、 社内ネットワークといえども認証とアクセス制御をきちんとやる この当たり前のことをちゃんとやっていれば大丈夫です。」

    2022/05/16 リンク

    その他
    deep_one
    「なんというドメインにアクセスしているつもりなのか」を確認しとけと。それってたしかバーチャルホストのSSLに対応するために追加された通信仕様だったよな…

    その他
    dollarss
    dollarss 権威ある人がこうして対策記事を書いてくれる事には本当に頭が下がる。

    2022/05/16 リンク

    その他
    Hiro_macchan
    memo

    その他
    azumi_s
    手を替え品を替え考えるものだ

    その他
    kenzy_n
    ミリ秒の攻防

    その他
    Sampo
    ああっなるほどそういうこと! ほんとに悪いこと考えるやついるのね!(攻撃者が何をしようとしているのか、そのために従来どんな防御がされてきたかの文脈を知らないとそれをどう破るって話なのか理解困難かも)

    その他
    y-kawaz
    なるほど仕組みと対策が分かりやすい。

    その他
    ockeghem
    ockeghem DNSリバインディングについて、ブラウザ、PROXY、リゾルバの対応状況と、対策の考え方についてまとめました

    2022/05/16 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    DNSリバインディング(DNS Rebinding)対策総まとめ

    サマリ DNSリバインディングが最近注目されている。Google Chromeは最近になってローカルネットワークへ...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.