1. DNS/flag_day/2020

Contents

DNS/flag_day/2020

https://dnsflagday.net/2020/ DNS flag day 2020

設定の実態をみると、業界としてはセキュリティには関心がないことを示す結果になっている。-- ToshinoriMaeno 2020-10-01 01:33:24

https://lactld.org/en/dns-flag-day-2020-dns-message-size/

https://afrinic.net/20201001-dns-flag-day-2020

flag day 2020: Recommended EDNS buffer size #125 https://github.com/dns-violations/dnsflagday/issues/125

1.1. TLD

/cctld /dns-oarc /root-servers

UDPsizeを小さくすべき理由など:

Herzberg, Shulman: Fragmentation Considered Poisonous

Fragmentation Avoidance in DNS

draft-fujiwara-dnsop-avoid-fragmentation-03

https://tools.ietf.org/html/draft-fujiwara-dnsop-avoid-fragmentation-03

PowerDNS

PowerDNS Recursor 4.2 and Authoritative 4.2 (both released recently) have lowered the relevant options from 1680 (which is a nonsensical number no matter which way you look at it) to 1232

IP フラグメンテーションを悪用したキャッシュポイズニング攻撃と対策DNS Summer Day 2020 中京大学大学院工学研究科太田健也

https://dnsops.jp/event/20200626/summer_day_2020_fragmentation_attack.pdf

1.2. リゾルバー

手元リゾルバーのテスト結果:

DNS flag day 2020に関して何も心配することはありません。 お使いのシステムは完全に準備ができています。

信用していいのかな。なにが準備なのか。

DNS/Message_Size /query /jp

https://lists.dns-oarc.net/pipermail/dns-operations/2020-September/020461.html

1.3. query 返答調査

quad 1 は1232, quad 8と quad9 は 512 になっていました。

149.112.112.10=dns10.quad9.net
149.112.112.112=rpz-public-resolver1.rrdns.pch.net
185.228.168.168=family-filter-dns.cleanbrowsing.org
185.228.168.9=security-filter-dns.cleanbrowsing.org
185.228.169.168=family-filter-dns2.cleanbrowsing.org
185.228.169.9=security-filter-dns2.cleanbrowsing.org
64.6.64.6=recpubns1.nstld.net
64.6.65.6=recpubns2.nstld.net
74.82.42.42=ordns.he.net
8.8.4.4=dns.google
8.8.8.8=dns.google
81.3.27.54=recursor01.dns.lightningwirelabs.com
9.9.9.9=dns9.quad9.net

iij でアクセスできたリゾルバーは 1220になっていた。

  38.2.232.202.in-addr.arpa. 36000 IN   PTR     ns4.iij.ad.jp.
  1.0.130.210.in-addr.arpa. 36000       IN      PTR     ns01.iij4u.or.jp.

so-net, nuro, sakura の共用リゾルバーは 4096 だ。

/jp

1.4. qmail.jp へのquery UDPsize

8.8.8.8 の手先は 4096 で送ってくる。:-)

1.5. What’s next?

The next DNS Flag Day is scheduled for 2020-10-01.

It focuses on the operational and security problems in DNS caused by Internet Protocol packet fragmentation.

その内容は、 IP パケットのフラグメンテーション (fragmentation) が引き起こす、 運用上のまたはセキュリティの問題に特化したものになる予定です。

この日本語訳はひどくないか。-- ToshinoriMaeno 2020-09-28 01:51:49

DNSが抜けているのは意図的か。

1.6. DeepL 翻訳

インターネットプロトコルのパケットフラグメンテーションによって引き起こされるDNSの運用上の問題とセキュリティ上の問題に焦点を当てています。

これでも誤解は起きそうだが、ましだ。

MoinQ: DNS/flag_day/2020