講演概要

Ghost Domain Names: Revoked Yet Still Resolvable

Jian Jiang, Jinjin Liang, Kang Li, Jun Li, Haixin Duan and Jianping Wu

It is a common belief that one can delete a bad domain from DNS registry to stop related malicious activities. Surprisingly, the deleted domain can still be kept alive worldwide due to an unnoticed vulnerability in DNS. This paper presents the phenomenon of ghost domain names and the mechanism behind.

講演スライドから

重複さんのお勧め「1,8,11,13,20,26,28,34-39,44,51,56-65」

Possible defense approaches

1. Parent Centric

Accept authority records only from the parent (like MaraDNS did)

2. Pure child-centric

Accept authority records from child on the first reply, but never update, so the record will expire

3. Child-centric with TTL constraints

Accept the authority record from the child on the first reply, and you can update the records EXCEPT TTL (like Unbound 1.4.11 did)

– A Large scale of exploit is practicable

• Semantics of DNS still need enhancements:
  • – maybe, the cache update policy should be revised

上位サーバへの負荷が問題だといって、この危険性をそのままにしておいていいのだろうか。 早急な対応がなされなければ、DNSが崩壊する。 -- ToshinoriMaeno 2012-02-12 07:10:47

言葉の定義が違っているようだ。

"authority record" というのはNSレコードのことを指しているのだろうか。

• delegation を表すNSレコードは上位のゾーンだけに現れる。

-- ToshinoriMaeno 2012-02-13 23:10:17

beyondDNS の提案

DNSの限界 @beyondDNS

Ghostはドメイン委譲に期限がないという解釈をした(キャッシュサーバの）実装に起因している。
これを考え直すべきだ。

上位サーバからの委譲は委譲レコードのTTL満了までの期間しか有効ではないと考えるのがよい。
委譲を受けたサーバからの返答レコードは上位サーバの与えた有効期限でのみ有効とする。

-- ToshinoriMaeno 2012-02-14 06:10:02

DNSSEC 関連のレコードには個々に有効期限が署名中についているようだが、 通常レコードに対してもキャッシュ側でも独自に期限を設けるべきだ。