1. DNS/毒盛/防衛
1.1. 基本対策
リゾルバーはTCPだけを使うこと。
- TCP対応していないゾーンサーバしか用意していないゾーンにはアクセスしない。w
-- ToshinoriMaeno 2016-10-09 00:14:27
1.2. UDPなら
UDPを使う場合にはしっかりした対策をほどこすこと。
1.2.1. NS毒
NS毒は簡単に防衛できる。:-)
- tss「移転インジェクション」は「おまけSection」を捨てるだけ。
- Mueller型(delegation)毒はNXDomain情報を利用すると安価に対策できる。
(あるいはqname minimisation)
1.2.2. CNAME毒
簡単に見分けられる。(NXdomain, NoName 情報を利用すれば)
- あるいはキャッシュ内の整合性の検査とかも。
なにか見落としているものがないか。
1.3. DNSSEC
中間者攻撃を排除したいなら、暗号化通信を使う方がよい。
- DNSSECでは資源レコードの保護にしか役にたたない。(手間がかかりすぎ)
-- ToshinoriMaeno 2017-06-18 05:14:03