1. 民田スライド

http://www.nic.ad.jp/ja/materials/iw/2008/proceedings/H3/IW2008-H3-07.pdf

• Kaminsky Attackの全て-Kaminsky Attack解説と対策(前編) 民田 雅人/株式会社日本レジストリサービス 技術戦略室 1.39MB

(タイトルに偽りあり)

民田スライドを検討してみる。

1.1. スライド #21

Kaminsky型と他の方式[と]の比較

• Screenshot-IW2008-H3-07.pdf (保護) - Adobe Reader-1.png

「Kaminsky型は内部名となる」は正しいか。

• additional section に出現する名前を指しているはずだが、問題はラベル部分にある。
• authority section の NS レコードは委譲ではない。このNSレコードを受け入れることは効率上の配慮でしかない。
• それに対する additional section まで受け入れるのは（現状では)危険と言える。

「Kaminsky型の攻撃はほぼ100%成功する」の意味はなにか。

• 毒盛が成功するという意味ではないことは明らか。
• 「キャッシュされている可能性がゼロ」の名前を問い合わせることができるという意味だろう。
• TTL によって、毒盛を妨害されることがないという意味でもある。

1.2. 問題のスライドは　#23

• Screenshot-IW2008-H3-07.pdf (保護) - Adobe Reader.png

  • キャッシュされているデータをうわがきできるか。

    • DNS/キャッシュサーバへの毒盛/対策/RFC2181-5.4

1.2.1. 実装不良の場合にかぎり、毒盛できる

• これはBINDに不良があると言っているのと同じ。

1.3. Kaminsky/民田スライドの毒盛は実装不良が前提だ

民田スライドは「毒盛が成立することがある」と言っているにすぎない。

• Kaminskyのスライドには間違いまである。

毒盛手法を明らかにすることの危険性が分からない訳ではないが、ここまでぼかす理由がわからない。

• あいまいな記述でも攻撃手法(実装不良）の存在を示すことができ、分かる人には分かるということか。

1.4. Kaminsky/民田は狼少年か

スライドにあるような(安易な）手法で容易に毒盛されるキャッシュサーバは少数だと推測できるが、 皆無ではない。(実装に不良のあるキャッシュサーバがありえるから） その意味でKaminskyの警告は無駄ではなかった。

まずは query port 固定を止めることであるが、これすら実行しない管理者が多数いる。 そして、この段階で止まっている管理者が多数いる。この状態ではキャッシュサーバは信用すると危ない。

DNSSEC がひとつの解決方法であることまでは否定しないが、唯一の解決方法ではないと考える。

-- ToshinoriMaeno 2009-09-07 09:12:21