1. 未熟なDNS

JPRS が認めた「未熟なDNS」を記念して、項目を作成した。 http://jprs.jp/tech/material/iw2014-lunch-L3-01.pdf

• 未熟なのはDDoSだけが理由ではない。

DNS は実験道具（1034 など）という位置づけのまま、利用だけが拡大した。

• 運用面ではまったく改善されていない。

JPRSまで言い出すようになったきっかけはやはり、 co.jp へのNS毒盛を知ったことだろう。　（２０１４年２月） -- ToshinoriMaeno 2014-11-03 04:28:21

1.1. 未熟なリゾルバー

Mueller手法により、www.google.com のようなドメイン名に NS毒を入れられることは2008年には知られていた。

でも、Mさんは Mueller 論文を知らなかったらしい。

• 「知らなかった」が事実だとすると、完全に（世界の）DNSセキュリティの世界から隔絶されていたのではないだろうか。

ただ、[a-g].dns.jp がjp/dns.jp という親子関係にあるゾーンのNSを兼ねていると 「毒を入れやすい」ということを指摘したのはさすが「DNS専門家」である。

しかし、tssさんがBINDなどではキャッシュにあるNSレコードも上書きできるという話を持ち出して、 状況としてははきわめて悪い状態であることが明らかになったと言える。　（これもJPRSは気付いていなかったようだ）

• あるいは伏せて置きたかっただけか。

-- ToshinoriMaeno 2014-11-03 04:28:21

にも関わらず、JPRSは4月１５日にKaminsky型攻撃についての一般的警告を繰り返しただけであった。

• ポート固定のキャッシュサーバを危険にさらすという口実だった。

6年間も警告を無視している怠慢な管理者があの警告で対応すると思ったのだろうか。

• 警告の効果はどの程度のものだったのだろう。

あとから、対応は「ちゃんと」していたのだろうか、とか言っているが、批判には答えない。

• -- ToshinoriMaeno 2015-07-20 00:12:42

それが一転して、「未熟なDNS」と言う姿勢に転じたのはなぜだろうか。 私にはよくわからない。　-- ToshinoriMaeno 2014-11-03 04:28:21

• 海外での反応を見ての判断だったのでないか。

1.2. もうひとつの謎

• なぜDNSSECをすすめないのか。　2008年からの６年間をみて、普及は簡単ではないと分かったからではないか。

1.3. 未熟なゾーンサービス

だれでも勝手に登録できるゾーンサービス

• それが危険だとわからない業者