1. 民田スライド
http://www.nic.ad.jp/ja/materials/iw/2008/proceedings/H3/IW2008-H3-07.pdf
- Kaminsky Attackの全て-Kaminsky Attack解説と対策(前編) 民田 雅人/株式会社日本レジストリサービス 技術戦略室 1.39MB
(タイトルに偽りあり)
民田スライドを検討してみる。
1.1. スライド #21
Kaminsky型と他の方式[と]の比較
「Kaminsky型は内部名となる」は正しいか。
- additional section に出現する名前を指しているはずだが、問題はラベル部分にある。
- authority section の NS レコードは委譲ではない。このNSレコードを受け入れることは効率上の配慮でしかない。
- それに対する additional section まで受け入れるのは(現状では)危険と言える。
「Kaminsky型の攻撃はほぼ100%成功する」の意味はなにか。
- 毒盛が成功するという意味ではないことは明らか。
- 「キャッシュされている可能性がゼロ」の名前を問い合わせることができるという意味だろう。
- TTL によって、毒盛を妨害されることがないという意味でもある。
1.2. 問題のスライドは #23
Screenshot-IW2008-H3-07.pdf (保護) - Adobe Reader.png
- キャッシュされているデータをうわがきできるか。
1.2.1. 実装不良の場合にかぎり、毒盛できる
- これはBINDに不良があると言っているのと同じ。
1.3. Kaminsky/民田スライドの毒盛は実装不良が前提だ
民田スライドは「毒盛が成立することがある」と言っているにすぎない。
- Kaminskyのスライドには間違いまである。
毒盛手法を明らかにすることの危険性が分からない訳ではないが、ここまでぼかす理由がわからない。
- あいまいな記述でも攻撃手法(実装不良)の存在を示すことができ、分かる人には分かるということか。
1.4. Kaminsky/民田は狼少年か
スライドにあるような(安易な)手法で容易に毒盛されるキャッシュサーバは少数だと推測できるが、 皆無ではない。(実装に不良のあるキャッシュサーバがありえるから) その意味でKaminskyの警告は無駄ではなかった。
まずは query port 固定を止めることであるが、これすら実行しない管理者が多数いる。 そして、この段階で止まっている管理者が多数いる。この状態ではキャッシュサーバは信用すると危ない。
DNSSEC がひとつの解決方法であることまでは否定しないが、唯一の解決方法ではないと考える。
-- ToshinoriMaeno 2009-09-07 09:12:21