## page was renamed from DNS/歴史/2011 ## page was renamed from DNS/NEWS/2011 ## page was renamed from DNS/2011 [[DNS/毒盛/歴史/年代別]] DNS/2011について、ここに記述してください。 <> = 2011 年のDNS関連のできごと = 東北地震と[[DNS/浸透いうな!|「浸透いうな」]]に付き合って、一年が過ぎた。家庭の事情もあった。 「浸透待ち」を言う理由を調べても、特別の理由は見当たらない。みんな責任回避したいのか。 「TTLを無視する」というあやしげな表現を使うひとまで現れている。 Kaminsky 攻撃対策の基本はport randomization と自前キャッシュサーバです。 BINDキャッシュでも「浸透問題」は起きないことをもっと知ってもらうべき。 == 浸透いうな == 「浸透いうな!」のページが作られた。なにを言おうとしているのか、よく分からないページだった。 DNS(権威)サーバの移転時に移転手順によってはdjbdns/dnscacheを使っている利用者に発生する可能性があることは理解出来たが、 一般に起きるとはかぎらない。起きないようにする手順があるので問題はない。(と幽霊ドメイン問題報告のときまで思っていた。) 実際に問題がおきているケースがあるか調べて見ることにした。 DNS権威サーバの移転は想像以上に多いことが分かった。 16shot.jp や河野太郎さんのページでも起きるかも。 浸透遅いというケースは多くの場合、OCNのキャッシュサーバ(アクセス制限あり)を使っているらしいことが 分かったが、利用者ではないためにd手が出せない。tssさんにお任せ。 -- ToshinoriMaeno <> == DNSSEC == サイトの移転問題を理解していない推進者たち == 実践DNS本 == DNSSEC推進が目的らしい。その部分の価値はないものとすると、ちょっと高いかも。 特に役にたちそうな情報はなし。いわゆる教科書的というと褒めすぎ。Muellerについても少しある。 == 危険なDNSサーバの利用者へ警告 == query source port が固定であるようなサーバ(権威サーバ兼用もよくある)に警告表示する話。 ブラックリスト方式(前野)から自動判別方式(tss)まで。 こういうサーバには警告サーバのIPアドレスを返答して、末端利用者に警告する。   ちょっとまわりくだい方法を採用した。(分かってもらえただろうか) 2012年現在は前野は返事を拒否することにしている。 == Kaminsky 報告スライドの間違い == BIND各バージョンへの毒入れ実験 (Kaminsky Bug の検証) 2011.10.18 公開 http://www.e-ontap.com/dns/bindmatrix.html 2008年のKaminsky講演のスライドで毒盛できるのはおかしいという話。 answer section に加えてauthority/additional section があるときに毒を受け入れるBINDが存在するという話が見えた。 もちろん、別の方法で毒は入ることは分かっているので、Kaminsky手法の価値が下がるものではない。 2008年から分かっていたというひともいるが、それを黙っているのは技術者としては失格だ。 -- ToshinoriMaeno <>