1. DNS/flag_day/2020
https://dnsflagday.net/2020/ DNS flag day 2020
設定の実態をみると、業界としてはセキュリティには関心がないことを示す結果になっている。-- ToshinoriMaeno 2020-10-01 01:33:24
https://lactld.org/en/dns-flag-day-2020-dns-message-size/
https://afrinic.net/20201001-dns-flag-day-2020
flag day 2020: Recommended EDNS buffer size #125 https://github.com/dns-violations/dnsflagday/issues/125
1.1. TLD
/cctld /dns-oarc /root-servers
UDPsizeを小さくすべき理由など:
Herzberg, Shulman: Fragmentation Considered Poisonous
Fragmentation Avoidance in DNS
- draft-fujiwara-dnsop-avoid-fragmentation-03
https://tools.ietf.org/html/draft-fujiwara-dnsop-avoid-fragmentation-03
PowerDNS
- PowerDNS Recursor 4.2 and Authoritative 4.2 (both released recently) have lowered the relevant options from 1680 (which is a nonsensical number no matter which way you look at it) to 1232
IP フラグメンテーションを悪用したキャッシュポイズニング攻撃と対策DNS Summer Day 2020 中京大学大学院 工学研究科 太田 健也
https://dnsops.jp/event/20200626/summer_day_2020_fragmentation_attack.pdf
1.2. リゾルバー
手元リゾルバーのテスト結果:
DNS flag day 2020に関して何も心配することはありません。 お使いのシステムは完全に準備ができています。
- 信用していいのかな。なにが準備なのか。
https://lists.dns-oarc.net/pipermail/dns-operations/2020-September/020461.html
1.3. query 返答調査
quad 1 は1232, quad 8と quad9 は 512 になっていました。
149.112.112.10=dns10.quad9.net 149.112.112.112=rpz-public-resolver1.rrdns.pch.net 185.228.168.168=family-filter-dns.cleanbrowsing.org 185.228.168.9=security-filter-dns.cleanbrowsing.org 185.228.169.168=family-filter-dns2.cleanbrowsing.org 185.228.169.9=security-filter-dns2.cleanbrowsing.org 64.6.64.6=recpubns1.nstld.net 64.6.65.6=recpubns2.nstld.net 74.82.42.42=ordns.he.net 8.8.4.4=dns.google 8.8.8.8=dns.google 81.3.27.54=recursor01.dns.lightningwirelabs.com 9.9.9.9=dns9.quad9.net
iij でアクセスできたリゾルバーは 1220になっていた。
38.2.232.202.in-addr.arpa. 36000 IN PTR ns4.iij.ad.jp. 1.0.130.210.in-addr.arpa. 36000 IN PTR ns01.iij4u.or.jp.
so-net, nuro, sakura の共用リゾルバー は 4096 だ。
1.4. qmail.jp へのquery UDPsize
8.8.8.8 の手先は 4096 で送ってくる。:-)
1.5. What’s next?
The next DNS Flag Day is scheduled for 2020-10-01.
It focuses on the operational and security problems in DNS caused by Internet Protocol packet fragmentation.
その内容は、 IP パケットのフラグメンテーション (fragmentation) が引き起こす、 運用上のまたはセキュリティの問題に特化したものになる予定です。
この日本語訳はひどくないか。-- ToshinoriMaeno 2020-09-28 01:51:49
- DNSが抜けているのは意図的か。
1.6. DeepL 翻訳
インターネットプロトコルのパケットフラグメンテーションによって引き起こされるDNSの運用上の問題とセキュリティ上の問題に焦点を当てています。
これでも誤解は起きそうだが、ましだ。