DNS/信用するな - moin.dnsq.info

Contents

1. DNS は脆弱である

『DNS を信用するのは大変危険です。』　/起源とその後の経過を考えれば、当然なのですが。

こういう話をしていたら、「インターネット(Internet)なんてそういうものだ」と言われてしまいました。その通りです。現実にこういうことが： http://www.nic.ad.jp/ja/topics/2005/20051024-01.html 逆引きネームサーバの障害について

皆さんがこのことを分って使っておられるならいいのですが。

RFC 3833 "Threat Analysis of the Domain Name System (DNS)"

DNS サーバにデータを登録する人(あえて管理者とは呼びません)は DNS の仕組みを理解していないようです。設定間違いの危険性を理解していないことは自明な帰結です。つまり、DNS を利用する側は DNS サーバの返事を信用しては危険だ思うべきです。

管理者だけでなく、インターネットを使う人ならだれでも DNS の役割と DNS の脆弱性、危険性を理解しておくべきです。なんとか使えているのが奇跡だとおっしゃる方もあります。本当に使えているのでしょうか。

DNS の仕組みそのものは非常に簡単です。
でも [ref.html DNS の仕様 (RFC)]]にはいろいろ問題があります。
- http://www.nic.ad.jp/ja/materials/iw/2003/main/dns/3-jinmei.pdf DNS サーバ・セキュリティ (神明達哉さん)
- http://www.ne.jp/asahi/bdx/info/depot/securenet-20031031-pub.pdf DNS の信頼性とセキュリティ問題(力武健次さん)
- http://news.com.com/2102-7349_3-5816061.html?tag=st.util.print DNS servers--an Internet Achilles' heel
DNS は利用規模の拡大を妨げる構造を抱えています。
http://www.templetons.com/brad/dns/ Problems, Goals and a Fix for Domain Names
DNS/問題のある実装がいまでも使われているのを目にします。
運用面では設定の間違いも目立ちます。運用の間違いからくる危険を認識していただきたいものです。
DNS 管理者を育てていないのではないでしょうか。
そして、最大の問題は DNS データを統合管理している組織です。
さらにまぎらわしいドメイン名という問題もあります。 http://sa.notwork.jp/2005/NOTWORK.JP-SA:050401-00.html