MoinQ: DNS/毒盛/2014/fujiwara

• RecentChanges
• FindPage
• HelpContents
• DNS/毒盛/2014/fujiwara

• Immutable Page
• Comments
• Info
• Attachments
• More Actions: Raw Text Print View Render as Docbook Delete Cache ------------------------ Check Spelling Like Pages Local Site Map ------------------------ Rename Page Delete Page ------------------------ Subscribe User ------------------------ Remove Spam Revert to this revision Package Pages Sync Pages ------------------------ CreateNewPage Load PageActions Save SlideShow Thumbnails

 •  NSがないドメイン名はすべて攻撃対象
 •  子孫と同居しているとすべて攻撃対象
ということで、
　  一段ごとに完全にゾーン分割
　　一段ごとに権威DNSサーバを分離
するとある程度守れるのではないか

• ホスト名  ごとに  ゾーンとDNSサーバアドレスを分ける
• ホスト名と同じアドレスをホスト名ゾーンのDNSサーバとする

問題点
–サービスアドレスと、権威DNSサーバが同じアドレス
– 変更時には上位のグルーと下位を同時に変更
– 権威DNSサーバのアドレスを増やすと、サービスアドレスも増える
– 内部名のDNSサーバ名には適用不可能
   •なぜなら、親子同居になるため
   •どこかには必ず内部名のDNSサーバが必須のため、どこかで負ける
–  RFC 2181 Ranking問題のバグを持つサーバへの注入は可能

中間ドメイン名の守りかた
•すべての階層をゾーンに分割– IPv6の逆引きどうするんでしょうか？

JPでの 中間ドメイン名対策の可能性

中間ドメイン名(dns.jp)
•  2014/6/24 JPRSはdns.jpをJP DNSから分離しました
  – IPアドレスも変更

MoinQ: DNS/毒盛/2014/fujiwara (last edited 2021-05-02 08:01:34 by ToshinoriMaeno)

• Immutable Page
• Comments
• Info
• Attachments
• More Actions: Raw Text Print View Render as Docbook Delete Cache ------------------------ Check Spelling Like Pages Local Site Map ------------------------ Rename Page Delete Page ------------------------ Subscribe User ------------------------ Remove Spam Revert to this revision Package Pages Sync Pages ------------------------ CreateNewPage Load PageActions Save SlideShow Thumbnails

• MoinMoin Powered
• Python Powered
• GPL licensed
• Valid HTML 4.01