1. DNS/毒盛/Mueller/fujiwara

9月になってもこう言っている。(まともな対策案を出せない)


2014年電子通信学会 (9月になって、学会での発表)

2. 発表

藤原 和典

http://www.ieice.org/~ia/archives/ia20140906/20140912-ia-fujiwara.pdf

「根元」は攻略されたのか DNSキャッシュポイズニング攻撃とその対策について 改めて考える

(最初のスライドすら、おかしいが)

-- ToshinoriMaeno 2017-01-30 20:51:45


slide 47

権威DNSサーバでの対策

 •  NSがないドメイン名はすべて攻撃対象
 •  子孫と同居しているとすべて攻撃対象
ということで、
   一段ごとに完全にゾーン分割
  一段ごとに権威DNSサーバを分離
するとある程度守れるのではないか

slide 48 ホスト名の守り方

• ホスト名  ごとに  ゾーンとDNSサーバアドレスを分ける
• ホスト名と同じアドレスをホスト名ゾーンのDNSサーバとする

問題点
–サービスアドレスと、権威DNSサーバが同じアドレス
– 変更時には上位のグルーと下位を同時に変更
– 権威DNSサーバのアドレスを増やすと、サービスアドレスも増える
– 内部名のDNSサーバ名には適用不可能
   •なぜなら、親子同居になるため
   •どこかには必ず内部名のDNSサーバが必須のため、どこかで負ける
–  RFC 2181 Ranking問題のバグを持つサーバへの注入は可能

slide 49

中間ドメイン名の守りかた
•すべての階層をゾーンに分割– IPv6の逆引きどうするんでしょうか?

slide 50

JPでの 中間ドメイン名対策の可能性


中間ドメイン名(dns.jp)
•  2014/6/24 JPRSはdns.jpをJP DNSから分離しました
  – IPアドレスも変更

MoinQ: DNS/毒盛/2014/fujiwara (last edited 2021-05-02 08:01:34 by ToshinoriMaeno)