DNS/BINDの歴史/場当たり的対応について、ここに記述してください。
Kaminsky 流攻撃で明らかになった不良:
- Answer section がある返答に付け加えられた[Authority/Additional] section のRRSet でキャッシュを更新するというもの。
分かっていること:
- TTLだけが異なる場合にはTTLは更新されない。 (滲透しない問題は起きなくなる)
NSレコード値(サーバ名)が異なる場合には新たにキャッシュされる。 -> Ghost Domain Names 脆弱性へ
Ghost Domain Names 脆弱性への対応;
- 上位サーバからの委譲返答のTTLを上限とするように制約した。
- これでもサーバ名が異なるときにはキャッシュが置き換えられるので、毒盛につながる。
-- ToshinoriMaeno 2014-03-21 14:56:04