1. DNSの基礎

DNS入門を済ませた人を対象にしている。

「浸透いうな」とか「DNSサーバの移転」とかは含みません。 「内部名」や「グルー」も含みません。w

でも、DNSは未熟なので、DNS/脆弱性 に触れないのはまずい。/脆弱性 DNS/毒盛


前提:DNS入門/初級ではDNSの仕組みをひと通り学んだ。

DNSを活用する上で一番重要なのはDNS/ゾーンだと考えます。

2. 復習

2.1. ドメイン名空間とゾーン

2.2. DNS資源レコード

ドメイン名には資源レコードをもたせることができる。 DNS/1/資源レコード/NS

2.3. ゾーン管理

分けられたゾーンを連携させる仕組みを勉強する。(問題なく動くのか、検証しながら)

DNS/1/委譲 を確認できるだけのスキルも必要か。(浸透遅いと言わないために)


DNS/索引 が役にたつと信じる。-- ToshinoriMaeno 2016-09-20 00:54:43

3. 目標

/中級1 では、

RFC 1034, 1035 を読むことにしよう。

そして、修了時には

DNSゾーンサーバが自作できるようになることを目標とする。

-- ToshinoriMaeno 2016-09-19 08:23:08

DNSの抱える問題も知っておく必要がある。-- ToshinoriMaeno 2016-09-27 00:38:54

DNS/キャッシュポイズニングが実行可能になるDNSの弱点を理解する。

4. 中級の話題

中級の1,2に分ける予定の項目。(3も欲しくなってきた。w)

  1. DNS/1/messages DNS問い合わせと返答

  2. DNS/1/delegation

  3. DNS/1/資源レコード

  4. メール配送とMXレコード、SPFレコードなど (spam 対策)

ここまで復習でもあり、/中級1とする。

以下の項目を../中級1../中級2 に振り分ける。

  1. ゾーンサーバの返事がいろいろあること。(実装依存)DNS/返答

  2. DNS/1/キャッシュポイズニング Kaminsky流攻撃

  3. 実装(による違い)の話 djbdnsのすすめ、unbound は?

  4. BIND の問題点 (森下dis資料 #dnstudy)
  5. 512バイトを越える返答(EDNS0)など
  6. 共用キャッシュサーバの危険性(Google Public DNS はどうか。)
  7. glue とはなにか。「グルー、内部名」(JPRS)とはなにか。

このあたりまで来たら、DNSSECとはなにかを考えるのもいいだろう。

この先は/中級3ということにする。

http://www.e-ontap.com/dns/onsenextra2016/ (スライド18)

適切な NS 移転の要点
    ケースバイケースであり自分で考えないとダメ (手順は一人歩きするので指南しない) 

-- ToshinoriMaeno 2016-08-05 05:30:30

5. ゾーンサーバからの返答

返答メッセージの形式を把握したら、内容を吟味する。

ゾーンサーバーにより、返答が異なることが読み取れるか。

6. トラブル

lame delegation

7. DNSの脆弱性の理解

Kaminsky流攻撃がどういうものかを説明できますか。

Ghost Domain Names脆弱性とは?

親子ゾーンの同居にはどういう問題がありますか。

8. キャッシュポイズニング脆弱性

偽返答を受け取ってしまったら、リゾルバーはどういう動作をするだろうか。

/中級2 ではキャッシュポイズニングについて考える。

その前に偽返答がリゾルバーに届くのはどういう場合なのか。

JPRSのいう「委任インジェクション」を説明できますか。


「初心者のためのDNS運用入門」 : これもタイトルがおかしい。

運用は初めてかもしれないが、DNSに関しての知識は十分なければだめです。 (未熟な)DNSの運用は素人が手出しすると、怪我します。

-- ToshinoriMaeno 2016-08-05 05:51:52

MoinQ: DNS/基礎/演習編 (last edited 2021-06-02 01:27:47 by ToshinoriMaeno)