MoinQ:

1. DNS/毒盛再考/対策

DNS/キャッシュ毒盛/対策

1.1. JPRS 注意喚起

JPRSはキャッシュサーバの運用者にポートランダム化対策などを呼びかけただけだった。 (2014-04-15)

Mueller 手法に言及することをかたくなに避けているように見える。

1.2. 技術資料

4/30 の資料 キャッシュポイズニング攻撃対策: キャッシュDNSサーバー運用者向け―基本対策編

5/30 の資料 キャッシュポイズニング攻撃対策:権威DNSサーバー運用者向け―基本対策編[PDF]

(6/30 の資料 ??)

1.3. 攻撃の検知

攻撃に十分な時間を許せば、攻撃は成功する可能性がある。

1.4. キャッシュのクリア

それよりも、定期的に(一日一回程度)キャッシュをクリアする。

1.5. キャッシュ以外の方法での情報入手

重要なドメインについてはあらかじめ別途DNS情報を取得しておく。

キャッシュをクリアしたら、別途入手の情報を入れておく。

-- ToshinoriMaeno 2014-06-06 21:48:31

1.6. あまり対策にならないもの

オープンリゾルバーはやめた方がいいが、やめることがキャッシュ毒盛対策だとは思わない方がよい。 -- ToshinoriMaeno 2014-06-07 09:08:28

1.7. キャッシュサーバを設計しなおす

NSレコードを受け入れる条件を見直すだけで、十分な毒盛耐性のあるキャッシュサーバを作ることは可能である。

DNSプロトコルの変更が必要だ、というような意見は現状を容認したい人たちの主張にすぎない。

RFCはキャッシュサーバの設計要件を示すものではない。

-- ToshinoriMaeno 2014-06-22 22:45:37

1.8. DNS/TCP のすすめ

TCP で問い合わせることにより、UDP詐称パケットを受け取る心配はなくなる。

@SIG#

MoinQ: DNS/毒盛/2014/毒盛対策 (last edited 2021-05-01 14:29:20 by ToshinoriMaeno)