DNS/2011について、ここに記述してください。
1. 2011 年のDNS関連のできごと
東北地震と「浸透いうな」に付き合って、一年が過ぎた。家庭の事情もあった。
「浸透待ち」を言う理由を調べても、特別の理由は見当たらない。みんな責任回避したいのか。
- 「TTLを無視する」というあやしげな表現を使うひとまで現れている。
Kaminsky 攻撃対策の基本はport randomization と自前キャッシュサーバです。
- BINDキャッシュでも「浸透問題」は起きないことをもっと知ってもらうべき。
1.1. 浸透いうな
「浸透いうな!」のページが作られた。なにを言おうとしているのか、よく分からないページだった。
DNS(権威)サーバの移転時に移転手順によってはdjbdns/dnscacheを使っている利用者に発生する可能性があることは理解出来たが、 一般に起きるとはかぎらない。起きないようにする手順があるので問題はない。(と幽霊ドメイン問題報告のときまで思っていた。)
実際に問題がおきているケースがあるか調べて見ることにした。
- DNS権威サーバの移転は想像以上に多いことが分かった。 16shot.jp や河野太郎さんのページでも起きるかも。
浸透遅いというケースは多くの場合、OCNのキャッシュサーバ(アクセス制限あり)を使っているらしいことが 分かったが、利用者ではないためにd手が出せない。tssさんにお任せ。
-- ToshinoriMaeno 2012-11-23 15:30:28
1.2. DNSSEC
サイトの移転問題を理解していない推進者たち
1.3. 実践DNS本
DNSSEC推進が目的らしい。その部分の価値はないものとすると、ちょっと高いかも。
- 特に役にたちそうな情報はなし。いわゆる教科書的というと褒めすぎ。Muellerについても少しある。
1.4. 危険なDNSサーバの利用者へ警告
query source port が固定であるようなサーバ(権威サーバ兼用もよくある)に警告表示する話。
- ブラックリスト方式(前野)から自動判別方式(tss)まで。
こういうサーバには警告サーバのIPアドレスを返答して、末端利用者に警告する。
- ちょっとまわりくだい方法を採用した。(分かってもらえただろうか)
2012年現在は前野は返事を拒否することにしている。
1.5. Kaminsky 報告スライドの間違い
BIND各バージョンへの毒入れ実験 (Kaminsky Bug の検証) 2011.10.18 公開 http://www.e-ontap.com/dns/bindmatrix.html
2008年のKaminsky講演のスライドで毒盛できるのはおかしいという話。
- answer section に加えてauthority/additional section があるときに毒を受け入れるBINDが存在するという話が見えた。
もちろん、別の方法で毒は入ることは分かっているので、Kaminsky手法の価値が下がるものではない。
2008年から分かっていたというひともいるが、それを黙っているのは技術者としては失格だ。 -- ToshinoriMaeno 2012-11-24 23:48:29