cNotes 検索 一覧 カテゴリ

punycodeを使った誘導URL

Published: 2010/07/06

6/25に.中国とか.台湾とかいわゆる中国語圏でのIDN ccTLDが認められたらしいですが、聞いた瞬間にURLフィルタやドメインフィルタが難しくなるなぁと思ってしまうのは重症ですね。

2010/5/5にもこのようなものが使用可能になっています。

さっぱりわかりません。アラビア後なんて右から左に読んだりするわけで。。。

で、TLDは最近なのですが、第2レベルドメイン(2LD)以下に関してはすでにASCII以外の文字が使えたりしてたわけですが、実際のDNSとのやりとりはpunycodeというアルゴリズムでascii文字に変換してから行われています。

たとえばこんな感じ。

 インジェクションされているよ.中国
 
 ↓
 
 xn--n8j7azczhoad0oya6e0di18cxef.xn--fiqs8s

ドメインにかなりなメッセージ性を持たせることができるのか。。。。。

というわけで、今年に入ってからの攻撃に利用されるドメインでこのpunycodeが使われているものをさがしてみました。

  www.xn--sltzer-bua.com
  xn--kiralktekne-3zb.net
  xn--kiralktekneler-9fc.net
  www.xn--seluklutalebeyurdu-9ub.com
  www.xn--takstore-vkb.com
  www.xn--hurmac-u9a.com
  www.xn--ott-ina.com
  xn--cggynk-bva2i2b.hu
  www.xn--ssanservis-wubb.com
  xn--49s01v7kiisz.sakura.ne.jp
  xn--vestrest-h0a.com
  www.xn--gnermuhasebe-dlb.com
  xn--smlandshuset-ucb.dk
  xn--registersk-mcb.se
  xn--enseantesdelarenal-q0b.com
  xn--6dba3ab4c.name
  www.xn--siteynetimi-vfb.com
  xn--narckemlak-n6a20gea.com
  www.xn--pflasterbr-y5a.de
  xn--laks-elad-21a8r.hu.atma.silihost.hu
  xn--nyugdjpnztr-t7a4h7b.com
  xn--strmnett-74a.no

さすがにTLDはないですね。

もとの文字列はこんな感じ(wwwは省略してます。)

うん。わかりにくい。

いずれも広告ページへ飛ばすためのリダイレクタの設置場所を指すドメインでした。


見た目をごまかすぐらいの使われ方なのか、機械的なセキュリティチェックを難しくするための手法に使われるのか?たとえば日本語とか中国語とか使われた場合は、フィルタリングとかスパムチェックには変換前の文字列を使うんでしょうか?変換後のASCII文字を使うんでしょうか?変換する機能を必須とするんでしょうか。これは悩ましい。ブラックリストとかRDB的なものの対応がどうされているかですかね。

[カテゴリ:DNS観察日記]

by jyake