更新が必要だ。-- ToshinoriMaeno 2020-06-20 21:30:14

1. DNS/セキュリティ/cookies

https://tools.ietf.org/html/rfc7873 https://datatracker.ietf.org/doc/rfc7873/

主目的はDDoS対策らしいが、cache poisoning 対策も言及されている。（注目されていないが）

• DNSSECの領域を侵したくないからか。ｗ

• ccTLD/ch ccTLD/il/livedns.co.il

問題はゾーンサーバ側とリソルバー側の両方でのサポートが必要なこと。

• いつまでに使えるようになるか。一年でどれくらい普及するか。 BIND: 実装は完了、9.10系（9.10.3以降）でサポート
  • 9.10系はデフォルト無効、9.11系はデフォルト有効
  Knot resolver でも使える。

DNSSECとの違いは親子関係などは考慮する必要がないこと。単独で設定できる。

• -- ToshinoriMaeno 2017-04-07 07:05:34

1.1. Knot DNS

/KnotDNS DNS/KnotResolver/cookies

・ Knot Resolver: 1.1.0でサポート (最新版は 1.3.0です。）

• http://knot-resolver.readthedocs.io/en/latest/modules.html#dns-cookies

https://lists.nic.cz/pipermail/knot-dns-users/2016-August/000941.html

1.2. BIND 9.11.0

標準サポートずみ。 /BIND-CHANGES

https://kb.isc.org/article/AA-01387/0/DNS-Cookies-in-BIND-9.10-and-9.11.html

• It is enabled in all builds from BIND 9.11.0 forward.

In BIND 9.11.0, we use DNS Cookies to white-list known clients for Response Rate Limiting (RRL).

• Client queries associated with valid Cookies will not be rate-limited.

For DNS Cookies to be effective, both server and client need to support them

From BIND 9.11.0 DNS Cookie functionality is enabled by default and will be used by servers that deploy Response Rate Limiting. Administrators that upgrade their Authoritative servers to BIND 9.11.0 will have this feature automatically enabled and used with their RRL configuration. Administrators of Recursive servers that resolve queries on behalf of end user clients, when they upgrade to BIND 9.11.0, will be able to take advantage of DNS Cookies when communicating with Authoritative servers that also support their use.

1.3. BIND 9.10.4

BIND 9.10.4 では　configure --enable-sit　でmake install したあと、 使うときには dig +sit を指定する。

cookieが有効になっているようです。 （😛microsoft\.com 相手に確認）

1.4. nic.ad.jp

この説明(一面的）からは、毒盛対策にはならない印象だが。（誤解であることを願う）

https://www.nic.ad.jp/ja/newsletter/No34/0604.html

NSEC3の他には、新たにDNS Cookieの話題があがりました。 これは、HTTPで利用されているCookieと同様で、DNSサーバは応答時のAdditional Sectionに仮想的なCookieレコードを加え、クライアントに自分のCookieを発行します。

クライアントは以後このCookieを利用して問い合わせを行います。 これにより、詐称されたIPアドレスからの問い合わせにはCookieが含まれない、もしくは異なったCookieが含まれる可能性が高くなり、その場合には短いエラーメッセージを返答することで、DNSサーバをパケット増幅器として利用したDoSを防ごうというものです。この話題は今回初めて議題にあがったものであり、これからの方向性はまだわかりませんが、議論は続いていくと思われます。

1.5. cookie 生成

https://security.stackexchange.com/questions/109942/why-include-dns-client-cookie-in-dns-server-cookie-computation

1.6. powerdns

2015年時点での話： サポート予定なし https://blog.powerdns.com/2015/05/26/powerdns-needs-your-help-what-are-we-missing/

1.7. PGP

http://computersecuritypgp.blogspot.jp/2016/06/dns-cookies.html

• DNS Cookies is a lightweight DNS transaction security mechanism

On the other hand, if the server receives a server cookie along with the client cookie, it will verify the cookie and then process the request.

It will then generate a response and send that along with the new server cookie if it generates one.

（毎回作り直すべきだが、client cookieを送り返さないのではclient側はserverを検証できないか。）

クライアントは同一のサーバに対してはサーバcookieを付けるなら