1. ルートゾーンKSK/日本では/JPRS
Contents
おかしな記述の原点はこれか、これが参照している文献らしい。-- ToshinoriMaeno 2017-07-27 06:28:07
https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.html
ルートゾーンKSKロールオーバーの一部のステップにおいて、ルートサーバー のDNSKEYリソースレコード(DNSKEY RR)の応答サイズが増加します。 これによりIPフラグメントが発生し、DNS応答を正しく受け取れなくなる可能性があります。 なお、その可能性はDNSSEC検証の有効・無効には関係ありません。
この文書の元になったと思われる以前の文書は../を見よ。
-- ToshinoriMaeno 2017-07-26 06:13:10
KSKとZSKとを取り違えている記述もあるようだし、書いた側も理解していないのだろう。
私が取り違えていた可能性もある。-- ToshinoriMaeno 2017-09-19 23:27:19
DNSKEYレコード(返答)の増大は定期的なZSKロールオーバーが理由だ。
それがたまたまKSKロールオーバーの波と重なるために大波が発生したということ。-- ToshinoriMaeno 2017-09-20 12:00:18
https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.pdf
- 「重要日付と継続期間」の図で赤字になっている部分
(ZSKはこの期間中にはロールオーバーをしないだろうという思い込みがあったかも。)
DNSSEC Update 2016年12月1日 Internet Week 2016 DNS DAY 米谷嘉朗 https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/d3/d3-2-yoneya.pdf
2. 追加説明
いろいろ質問があったらしく、/追加説明がでた。(ひと月後だ)
この部分を読み間違えていた可能性がある。(紛らわしい書き方だが)
- DNSKEYを(積極的に)queryする場合を意図しているのであれば、関係ないは正しいが、
わざわざ書くようなことであろうか。(結果として、総務省なども誤解下。) -- ToshinoriMaeno 2017-08-02 10:34:32
3. JPRS文書のまやかし
JPRSが参考リンクにあげているICANNのページは大量で複雑なので、JPRSも読みきれていない可能性もある。w
- 大事な点を読み損なっているのかも。
- 「IPフラグメントが発生し」: 発生するとはかぎらない。
- 「正しく受け取れない可能性がある」: 可能性のあるなしだけが問題ではない。
- 「その可能性はDNSSEC検証の有効・無効には関係ありません」: これが最大の詐欺的文章
4. DNSSEC検証時
5. 分析
5.1. DNSSEC検証が有効な場合
- リゾルバーは検証のためにDNSKEYを必要とする。
- このため、root zone serverに対しDNSKEYを問い合わせる。
- 返答でフラグメントが発生して、それを正しく処理できないならば、受け取れない。
- 検証に失敗する。その後はDNSSEC検証に「影響」
5.2. DNSSEC検証が無効な場合
- リゾルバーは検証しないので、DNSKEYを必要とはしない。
- DNSKEYを問い合わせるかどうかは、リゾルバーに問い合わせるクライアントがあったときに限る。
- つまり、あるとはかぎらない。
- 問い合わせがあって、DNSKEYを問い合わせた場合に、正しく受け取れなかったとしても、
- 影響を受けるのはクライアントであって、リゾルバー自身ではない。
これらを区別しないで、「その可能性はDNSSEC検証の有効・無効には関係ありません」と書いたのは
- 「騙してでも、DNSSECを推進する」という意図が働いたと思う。
-- ToshinoriMaeno 2017-08-05 15:09:58
なぜDNSSECを推進するのか。利益を得られるのはだれか。
ルートゾーンKSKロールオーバーの概要と影響の確認方法 (最終更新:2017年7月25日) https://jprs.jp/tech/notice/2017-07-10-root-zone-ksk-rollover.pdf
ルートサーバーのDNSKEYリソースレコード(DNSKEY RR)の応答サイズが増加してIPフラグメントが発生し、 フルリゾルバー(キャッシュDNSサーバー)が応答を受け取れなくなる可能性があります。 なお、その可能性はDNSSEC検証の有効・無効には関係ありません
- この部分の「DNSSEC検証」の有効・無効というのは、DNSSECを使っているかどうかという意味ではない。 DNSKEY RRはqueryしなければ、返答で送られるものでもない。
-- ToshinoriMaeno 2017-07-29 04:03:58
6. なぜTCPフォールバックに触れないのか
UDPで長大パケットを受け取らせるのは、フラグメントすり替え攻撃を受けやすくなります。
- DNS/TCPを使えばこれらの弱点を回避できます。なぜ、そのことを書かないのでしょう。
-- ToshinoriMaeno 2017-08-06 01:00:00
7. 資料
Root KSK rollover outreach activities in Japan and findings https://schd.ws/hosted_files/icann572016/18/Yoshiro-Yoneya-20161101-JPRS-DNSSEC-Act-03.pdf
DNSSEC Update 2016年12月1日 Internet Week 2016 DNS DAY 米谷嘉朗
https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/d3/d3-2-yoneya.pdf
DNSのメッセージサイズについて考える (2013年11月28日Internet Week 2013 ランチセミナー) https://jprs.jp/tech/material/iw2013-lunch-L3-01.pdf
- DNSのUDPメッセージサイズ ???
DNS関連ホットトピックス 2014年2月1日IPv6 Summit in SAPPORO 2014 https://www.iajapan.org/ipv6/summit/SAPPORO2014/pdf/JPRS_SAPPORO2014.pdf
- 第一フラグメント便乗攻撃に触れられている。
https://www.janog.gr.jp/meeting/janog39/program/kskro.html IPフラグメントがやってくる!準備できていますか?
概要
2017年7月から2018年3月にかけて、一定の期間、Root DNSサーバーか らの応答パケットがIPフラグメントを起こす大きさ(1280オクテット を超える)になります。これは、DNS RootゾーンのDNSSEC鍵署名鍵の 鍵交換(Root KSK rollover)の実施による影響です。
この大きな応答パケットは、DNSSEC検証の有無に関わらず問い合わせ を送ったすべてのフルリゾルバー(キャッシュDNSサーバー)に返っ てきます。自分のフルリゾルバーはDNSSEC検証していないから無関係 だと思っているあなた、実は無関係ではないのです!
本LTでは、自分のフルリゾルバー(及びそのフロントのネットワーク 接続機器を含む)がIPフラグメントに対応しているかの確認方法、 及びRoot DNSサーバーからの応答パケットが大きくなる重要日付と継 続期間を説明します。
Root KSK rolloverの概要 今すぐできる自分のフルリゾルバーがIPフラグメントに対応しているかの確認方法 Root DNSサーバーからの応答パケットが大きくなる重要日付と継続期間(複数回発生) コミュニケーションチャネル・有益リンクの紹介
発表者
米谷嘉朗 (株式会社日本レジストリサービス(JPRS))
https://www.janog.gr.jp/meeting/janog39/application/files/5014/8471/4979/JANOG39-LT-yoneya.pdf
フルリゾルバーはDNSSEC検証の有無に関わらずDNSKEYを取得しているため
- という記述は正確ではない。
-- ToshinoriMaeno 2017-07-27 11:47:51
8. 資料
DNSSEC導入に関する世界的動向
- 2010年11月25日DNS DAY, Internet Week 2010
佐藤新太
https://www.nic.ad.jp/ja/materials/iw/2010/proceedings/d2/iw2010-d2-07.pdf
2010年に急速に展開が進んだDNSSEC
世界のDNSSEC導入の概況
- • ルート– 2010年7月15日よりDNSSECの正式運用開始