DNS/脆弱性/未整理について、ここに記述してください。

DNS の部分コピー

1. DNSは脆弱である

/脆弱性を知ることが重要です。 /脆弱性入門 /歴史

/キャッシュ毒盛

DNS/返答 を分類してみます。

Kaminsky手法を使ったキャッシュ/毒盛には十分な対策があります。

30年以上使われているDNSを/JPRS/未熟なDNSと言っていていいのでしょうか。

脆弱性をすべて仕様のせいにしてしまっていいのでしょうか。

DNSに深入りしてもいいことはないのですが、 深入りせずに問題点を理解するのも難しいと思います。

すぐには代わりがないというのも状況を悪くしています。

-- ToshinoriMaeno 2016-02-09 11:17:01

重要項目の一覧は/索引を見てください。

/JP-DNS

1.1. Verisign 管理の不良

/Verisign は root-servers の運用まで任されている企業ですが、その運用はお粗末です。

日本での規制 : https://www.nic.ad.jp/ja/materials/after/20160318/20160318-kanesaka.pdf

1.2. レジストリ

DNSゾーンサーバーを移転するときに、いわゆる「浸透待ち」時間が発生するのは、


/基礎知識 /用語 /実装/未来はあるのか /JPRS/未熟なDNS (/用語/JPRS用語

DNS入門 もどうぞ。/delagation-attack

議論 https://www.ietf.org/mail-archive/web/dnsop/current/maillist.html

/draft /DNSCrypto

/2015

1.3. レジストラ

JPドメインでは/レジストラは「指定事業者」と言い換えられています。

DNSサーバを提供する業者(DNSプロバイダ)とは概念的には別ものです。

レジストラの移転についてはまずはレジストリ(JPRS)の説明から読んでください。

レジストラによるDNS情報の書き換えという事件もありました。(権利者の同意なし)

レジストラに侵入されて、DNS情報を書き換える事件も度々起きています。

-- ToshinoriMaeno 2015-07-06 01:33:26

1.4. DNS プロバイダ

DNS/プロバイダのサーバの振る舞いをまとめてみました。 DNS/旧サーバが古い返事を返す

あらためて、DNS/管理者への警告とお願いを書きます。-- ToshinoriMaeno 2010-09-12 01:49:10

レンタルサーバ/DNSサーバ引越手順をまとめてみました。

DNS/引越もどうぞ。  /非協力的事業者 には注意が必要です。

1.5. 共用DNSゾーンサービスは危険

DNS/脅威/共用ゾーンサービス/さくら などの共用DNSサービスでの脆弱性が指摘されました。

さくらは修正すると言っていましたが、部分的な対応でしかありません。

-- ToshinoriMaeno 2012-12-13 23:49:46

DNS/ホスティング とも呼ばれる。

1.6. DNS/TCPはmust

あなたのDNSはTCPをサポートしていますか。https://tools.ietf.org/html/rfc7766 DNS/RFC/RFC5966によって、DNSでTCPを使えるようにしなければならないとなっています。

2. DNSSECは割にあわない

DNSSECは手間がかかるわりにDNS/キャッシュ毒盛/対策としては十分な効果がのぞめません。

DNSSEC対応したキャッシュだって毒を盛られます。共用のキャッシュサーバは特に危険です。

2.1. DNSCurve を使ってみよう

DNSCurve は DNS query/response を暗号化することで、第三者による毒盛を防ぎます。

3. リゾルバー

DNS/リゾルバー

3.1. DNSキャッシュ毒盛

DNS/毒盛再考 : 現状でのDNSキャッシュサーバには毒盛される危険があります。/毒盛/入門

 2008年に公表された手法を使ってco.jp などに毒盛可能です。(2014)

Kaminsky型攻撃に対しては簡単で有効な対策を見つけました。実装が待たれます。 -- ToshinoriMaeno 2016-05-14 23:54:20

/キャッシュサーバへの毒盛