MoinQ:

DNS/毒盛/歴史/年代別

DNS/2011について、ここに記述してください。

1. 2011 年のDNS関連のできごと

東北地震と「浸透いうな」に付き合って、一年が過ぎた。家庭の事情もあった。

「浸透待ち」を言う理由を調べても、特別の理由は見当たらない。みんな責任回避したいのか。

Kaminsky 攻撃対策の基本はport randomization と自前キャッシュサーバです。

1.1. 浸透いうな

「浸透いうな!」のページが作られた。なにを言おうとしているのか、よく分からないページだった。

DNS(権威)サーバの移転時に移転手順によってはdjbdns/dnscacheを使っている利用者に発生する可能性があることは理解出来たが、 一般に起きるとはかぎらない。起きないようにする手順があるので問題はない。(と幽霊ドメイン問題報告のときまで思っていた。)

実際に問題がおきているケースがあるか調べて見ることにした。

浸透遅いというケースは多くの場合、OCNのキャッシュサーバ(アクセス制限あり)を使っているらしいことが 分かったが、利用者ではないためにd手が出せない。tssさんにお任せ。

-- ToshinoriMaeno 2012-11-23 15:30:28

1.2. DNSSEC

サイトの移転問題を理解していない推進者たち

1.3. 実践DNS本

DNSSEC推進が目的らしい。その部分の価値はないものとすると、ちょっと高いかも。

1.4. 危険なDNSサーバの利用者へ警告

query source port が固定であるようなサーバ(権威サーバ兼用もよくある)に警告表示する話。

こういうサーバには警告サーバのIPアドレスを返答して、末端利用者に警告する。 

2012年現在は前野は返事を拒否することにしている。

1.5. Kaminsky 報告スライドの間違い

BIND各バージョンへの毒入れ実験 (Kaminsky Bug の検証) 2011.10.18 公開 http://www.e-ontap.com/dns/bindmatrix.html

2008年のKaminsky講演のスライドで毒盛できるのはおかしいという話。

もちろん、別の方法で毒は入ることは分かっているので、Kaminsky手法の価値が下がるものではない。

2008年から分かっていたというひともいるが、それを黙っているのは技術者としては失格だ。 -- ToshinoriMaeno 2012-11-24 23:48:29