MoinQ:

1. Kaminsky講演/対策1

Kaminsky のスライドにある攻撃方法は毒盛対策されたキャッシュに対しては成功の可能性は少ない。

../講演のスライド(18)からの引用

攻撃の内容

  $RANDOM.foo.com についての query を送りつける。(start)

200個 の偽返答を送る。(返答の内容は矛盾のないように改訂; 別案 ../毒盛対策(2)

  $RANDOM.foo.com IN NS www.foo.com   [authority section]
  www.foo.com IN A 6.6.6.6       [additional section]

これで毒盛成功!

1.1. 対策は簡単

additional sectionにあるAレコードは狭義のglueではない。

この www.foo.com Aレコードは無視すればいい。

www.foo.com の A レコードは改めて検索すればいい。(すでにキャッシュされている可能性もある。)

BIND ではこの程度の防御もしていないのかもしれない。DNS/毒盛/Kashpureff型攻撃を参照せよ。

1.2. この対策で十分か

Kaminsky がスライドで示した例に対しての対策になっていても、 これがすべての同種の攻撃に対して有効かというと、残念ながらそうではない。

Kaminsky が成功の可能性の小さい例を示した真意は不明だが、 世間を説得するには十分だと考えたのだろう。


当面の対策としては (一年前だったら)

  1. 公開キャッシュサーバをやめる。
    1. キャッシュサーバの使うportをランダム化する。

ことが重要である。

DNSSECを普及させたい人達はDNSSECしか解がないようなことを言っているが、 それは嘘である。ほかにも方法はあるし、DNSSECが急速に普及する可能性は小さい。

Kaminsky の指摘と警告があっても対策されていない DNS サーバが多数ある現状では、 「DNS を信用しない」という態度が重要であると考える。 たとえ対策ずみであっても、(ISP 提供の)公開キャッシュサーバは危険である。

-- ToshinoriMaeno 2009-08-11 05:22:54

MoinQ: DNS/毒盛/Kaminsky手法/講演/対策1 (last edited 2021-05-02 07:00:32 by ToshinoriMaeno)