DNS/脆弱性/未整理について、ここに記述してください。

DNS の部分コピー

Contents

DNSは脆弱である
DNSSECは割にあわない
1. DNSCurve を使ってみよう
リゾルバー
1. DNSキャッシュ毒盛

1. DNSは脆弱である

/脆弱性を知ることが重要です。　/脆弱性入門 /歴史

UDPを使うことによる脆弱性を知る必要があります。

/キャッシュ毒盛

DNS/返答を分類してみます。

Kaminsky手法を使ったキャッシュ/毒盛には十分な対策があります。

ただし、対策はあるのに、ほとんど使われていません。なぜかはわかりません。DNSSECを広めたいからか、関心がないからでしょう。

30年以上使われているDNSを/JPRS/未熟なDNSと言っていていいのでしょうか。

/砂上の楼閣あるいは成長の望めない代物ではないでしょうか。

脆弱性をすべて仕様のせいにしてしまっていいのでしょうか。

DNSに深入りしてもいいことはないのですが、深入りせずに問題点を理解するのも難しいと思います。

きちんと説明できるほどのDNSに詳しいひとがいないのでしょう。
- 時間をかければかけるほど、抜けづらくなるでしょう。

すぐには代わりがないというのも状況を悪くしています。

-- ToshinoriMaeno 2016-02-09 11:17:01

重要項目の一覧は/索引を見てください。

/JP-DNS

1.1. Verisign 管理の不良

/Verisign は root-servers の運用まで任されている企業ですが、その運用はお粗末です。

UDP check sum 0 問題 2016-01 から
/netとcomの相互依存 2016-01 から glue ではないAdditionalを受け入れないと動作しない。/glueなし運用

日本での規制 : https://www.nic.ad.jp/ja/materials/after/20160318/20160318-kanesaka.pdf

1.2. レジストリ

DNSゾーンサーバーを移転するときに、いわゆる「浸透待ち」時間が発生するのは、

委譲・委任情報(NS)のTTLを短く設定できないように制約しているレジストリの責任が大きいと考える。

/基礎知識 /用語 /実装 /未来はあるのか /JPRS/未熟なDNS (/用語/JPRS用語）

DNS入門もどうぞ。/delagation-attack

議論 https://www.ietf.org/mail-archive/web/dnsop/current/maillist.html

/draft /DNSCrypto

/2015

1.3. レジストラ

JPドメインでは/レジストラは「指定事業者」と言い換えられています。

顧客の所有するドメインの管理情報を変更する権限をもつ業者です。

DNSサーバを提供する業者（DNSプロバイダ)とは概念的には別ものです。

同じであるかのような説明をしている業者は信用してはなりません。レジストラを兼ねているとしても、分けて説明している業者を選びましょう。

レジストラの移転についてはまずはレジストリ(JPRS)の説明から読んでください。

レジストラによるDNS情報の書き換えという事件もありました。（権利者の同意なし）

レジストラに侵入されて、DNS情報を書き換える事件も度々起きています。

/レジストリにも侵入されたような報道もありましたが、詳しい説明はありません。（それがDNSという業界）

-- ToshinoriMaeno 2015-07-06 01:33:26

1.4. DNS プロバイダ

DNS/プロバイダのサーバの振る舞いをまとめてみました。 DNS/旧サーバが古い返事を返す

あらためて、DNS/管理者への警告とお願いを書きます。-- ToshinoriMaeno 2010-09-12 01:49:10

レンタルサーバ/DNSサーバ引越手順をまとめてみました。

「浸透遅延」という都市伝説をさけるための手順を作成中です。

DNS/引越もどうぞ。　 /非協力的事業者には注意が必要です。

1.5. 共用DNSゾーンサービスは危険

DNS/脅威/共用ゾーンサービス/さくらなどの共用DNSサービスでの脆弱性が指摘されました。

JPRSからも注意喚起が出ています。(6/22, 7/04)

さくらは修正すると言っていましたが、部分的な対応でしかありません。

その他の業者については対応するかどうかも広報されてしません。

-- ToshinoriMaeno 2012-12-13 23:49:46

DNS/ホスティングとも呼ばれる。

1.6. DNS/TCPはmust

あなたのDNSはTCPをサポートしていますか。https://tools.ietf.org/html/rfc7766 DNS/RFC/RFC5966によって、DNSでTCPを使えるようにしなければならないとなっています。

キャッシュサーバへの毒盛はUDPの送信アドレス詐称を利用しています。TCPなら詐称は難しくなります。

2. DNSSECは割にあわない

DNSSECは手間がかかるわりにDNS/キャッシュ毒盛/対策としては十分な効果がのぞめません。

https://jprs.jp/doc/dnssec/jp-dps-jpn.html

DNSSEC対応したキャッシュだって毒を盛られます。共用のキャッシュサーバは特に危険です。

2.1. DNSCurve を使ってみよう

DNSCurve は DNS query/response を暗号化することで、第三者による毒盛を防ぎます。

3. リゾルバー

DNS/リゾルバー

3.1. DNSキャッシュ毒盛

DNS/毒盛再考 : 現状でのDNSキャッシュサーバには毒盛される危険があります。/毒盛/入門

たとえば、 DNS/毒盛/co.jp などは比較的容易な状態です。

　2008年に公表された手法を使ってco.jp などに毒盛可能です。(2014)

Kaminsky型攻撃に対しては簡単で有効な対策を見つけました。実装が待たれます。 -- ToshinoriMaeno 2016-05-14 23:54:20

/キャッシュサーバへの毒盛

MoinQ: DNS/脆弱性/未整理