twitter:#beyondDNS

正しい説明はまだない。(「未熟」)

DNS/architecture /実装 /歴史 /メモ


Domain Names Are Fading From User View 19 Apr, 2017 · by Karl Auerbach Cavebear

DNS Privacy, Authorization, Special Uses, Encoding, Characters,

https://tools.ietf.org/html/rfc8324

DNS Cookies, TCPを使おう。
DNSSECという複雑な仕組みはいらない。
DNSは十分安全に使える。

https://tools.ietf.org/html/rfc7766

/ゾーンサーバー /論文 /ネームサーバー

privacyを気にするなら、qname minimisationを使いましょう。

DNSサーバーの移転には時間がかかります。

1. DNS

A warm welcome to DNS https://powerdns.org/hello-dns/

1.1. 定義

/定義 DNSはDNS/1/ドメイン名の集まりを統合管理する仕組みである。

周りのものには好きな名前をつけたい。
各自が好き勝手な名前を使うのでは他人との情報交換で支障がでる。

DNSは名前(DNS/1/ドメイン名)の衝突を避けるための仕組みである。

ぶつかりの生じない(統一された)DNS/1/名前空間を「分散管理」(共存させる)するための仕組みである。

/基礎 /parameters

それぞれの名前空間は「DNS/1/ゾーン」と呼ばれる。

ゾーンはDNS/1/delegationによって、関連づけされる。

RFC 1034 2 DNS design goals

The primary goal is a consistent name space which will be used
     for referring to resources.  In order to avoid the problems
     caused by ad hoc encodings, names should not be required to
     contain network identifiers, addresses, routes, or similar
     information as part of the name.

ドメイン名には属性(DNS資源レコードと呼ばれる)をもたせることができる。

必要なDNS/1/資源レコードを検索する仕組みがある。これを実装するのが、リゾルバーである。

/課題

https://www.slideserve.com/deon/11-dns-domain-name-system


新TLDのもたらす脅威 https://twitter.com/OrangeMorishita/status/735020472207695872?lang=ja

動くかどうかさえはっきりしていなかった。セキュリティは考慮されていない。(RFC 1034)

1.2. 運用

/管理 /運用 /運用/調査

/JPRS/未熟なDNS /2016

2. DNSは脆弱である

/脆弱性を知ることが重要です。 /脆弱性入門 /歴史

/キャッシュ毒盛

DNS/返答 を分類してみます。

Kaminsky手法を使ったキャッシュ/毒盛には十分な対策があります。

30年以上使われているDNSを/JPRS/未熟なDNSと言っていていいのでしょうか。

脆弱性をすべて仕様のせいにしてしまっていいのでしょうか。

DNSに深入りしてもいいことはないのですが、 深入りせずに問題点を理解するのも難しいと思います。

すぐには代わりがないというのも状況を悪くしています。

-- ToshinoriMaeno 2016-02-09 11:17:01

重要項目の一覧は/索引を見てください。

/JP-DNS

2.1. Verisign 管理の不良

/Verisign は root-servers の運用まで任されている企業ですが、その運用はお粗末です。

日本での規制 : https://www.nic.ad.jp/ja/materials/after/20160318/20160318-kanesaka.pdf

2.2. レジストリ

DNSゾーンサーバーを移転するときに、いわゆる「浸透待ち」時間が発生するのは、


/基礎知識 /用語 /実装/未来はあるのか /JPRS/未熟なDNS (/用語/JPRS用語

DNS入門 もどうぞ。/delagation-attack

議論 https://www.ietf.org/mail-archive/web/dnsop/current/maillist.html

/draft /DNSCrypto

/2015

2.3. DNSキャッシュ毒盛

DNS/毒盛再考 : 現状でのDNSキャッシュサーバには毒盛される危険があります。/毒盛/入門

 2008年に公表された手法を使ってco.jp などに毒盛可能です。(2014)

Kaminsky型攻撃に対しては簡単で有効な対策を見つけました。実装が待たれます。 -- ToshinoriMaeno 2016-05-14 23:54:20

2.4. レジストラ

JPドメインでは/レジストラは「指定事業者」と言い換えられています。

DNSサーバを提供する業者(DNSプロバイダ)とは概念的には別ものです。

レジストラの移転についてはまずはレジストリ(JPRS)の説明から読んでください。

レジストラによるDNS情報の書き換えという事件もありました。(権利者の同意なし)

レジストラに侵入されて、DNS情報を書き換える事件も度々起きています。

-- ToshinoriMaeno 2015-07-06 01:33:26

2.5. DNS プロバイダ

DNS/プロバイダのサーバの振る舞いをまとめてみました。 DNS/旧サーバが古い返事を返す

あらためて、DNS/管理者への警告とお願いを書きます。-- ToshinoriMaeno 2010-09-12 01:49:10

レンタルサーバ/DNSサーバ引越手順をまとめてみました。

DNS/引越もどうぞ。  /非協力的事業者 には注意が必要です。

2.6. 共用DNSゾーンサービスは危険

DNS/脅威/共用ゾーンサービス/さくら などの共用DNSサービスでの脆弱性が指摘されました。

さくらは修正すると言っていましたが、部分的な対応でしかありません。

-- ToshinoriMaeno 2012-12-13 23:49:46

DNS/ホスティング とも呼ばれる。

2.7. DNS/TCPはmust

あなたのDNSはTCPをサポートしていますか。https://tools.ietf.org/html/rfc7766 DNS/RFC/RFC5966によって、DNSでTCPを使えるようにしなければならないとなっています。

3. DNSSECは割にあわない

DNSSECは手間がかかるわりにDNS/キャッシュ毒盛/対策としては十分な効果がのぞめません。

DNSSEC対応したキャッシュだって毒を盛られます。共用のキャッシュサーバは特に危険です。

3.1. DNSCurve を使ってみよう

DNSCurve は DNS query/response を暗号化することで、第三者による毒盛を防ぎます。

4. DNS ニュース

value-domainで利用者の設定がDNSサーバに反映されないという状況が4日も続いた。

DNS/ホスティングサービスにさまざまな問題を集めました。

DNS/毒抜期間とよぼう。 DNS浸透に時間がかかるのではない。

dbdns: http://dbpedia.org/page/Dbndns djbdns からの派生 (IPv6サポート)

Domain Seizures: http://yro.slashdot.org/story/11/02/04/1528211/Senator-Wyden-Asks-DHS-To-Explain-Domain-Seizures

US Gov't Mistakenly Shuts Down 84,000 Sites http://yro.slashdot.org/story/11/02/16/2239245/US-Govt-Mistakenly-Shuts-Down-84000-Sites

Planned IN-ADDR.ARPA Nameserver Change

Google Chrome and (weird) DNS requests

/キャッシュサーバへの毒盛

TLD日本 DNS/IPv6

/関連ニュース /短縮サービス

5. DNS サーバ運用の惨状

コンテンツサーバの設定を調べてみます。 /設定

いろんな設定をする人がいるものです。真似しないでくださいね。

DNS健全化タスクフォースというのがありましたが、 成果(報告)はあったのでしょうか。 http://www.nic.ad.jp/ja/newsletter/No24/063.html

visa.co.jp 乗っ取り事件やKaminsky 型攻撃などの事件がないと、 改善勧告すら無視されるのが現状のようです。

6. 関連情報

DNS/資源レコード

How GSLB Works

関連情報 -- /Faq -- /RFC

DNSアプライアンス http://thinkit.co.jp/article/1134/1

整理が必要です。ごめんなさい。-- ToshinoriMaeno 2015-06-28 00:23:13


Internet -- http://risks.qmail.jp さまざまな危険 --

MoinqmailJp: DNS (最終更新日時 2018-06-30 15:26:24 更新者 ToshinoriMaeno)