MoinQ:

更新が必要だ。-- ToshinoriMaeno 2020-06-20 21:30:14

1. DNS/セキュリティ/cookies

https://tools.ietf.org/html/rfc7873 https://datatracker.ietf.org/doc/rfc7873/

主目的はDDoS対策らしいが、cache poisoning 対策も言及されている。(注目されていないが)

問題はゾーンサーバ側とリソルバー側の両方でのサポートが必要なこと。

DNSSECとの違いは親子関係などは考慮する必要がないこと。単独で設定できる。

1.1. Knot DNS

/KnotDNS DNS/KnotResolver/cookies

・ Knot Resolver: 1.1.0でサポート (最新版は 1.3.0です。)

https://lists.nic.cz/pipermail/knot-dns-users/2016-August/000941.html

1.2. BIND 9.11.0

標準サポートずみ。 /BIND-CHANGES

https://kb.isc.org/article/AA-01387/0/DNS-Cookies-in-BIND-9.10-and-9.11.html

In BIND 9.11.0, we use DNS Cookies to white-list known clients for Response Rate Limiting (RRL).

For DNS Cookies to be effective, both server and client need to support them

From BIND 9.11.0 DNS Cookie functionality is enabled by default and will be used by servers that deploy Response Rate Limiting. Administrators that upgrade their Authoritative servers to BIND 9.11.0 will have this feature automatically enabled and used with their RRL configuration. Administrators of Recursive servers that resolve queries on behalf of end user clients, when they upgrade to BIND 9.11.0, will be able to take advantage of DNS Cookies when communicating with Authoritative servers that also support their use.

1.3. BIND 9.10.4

BIND 9.10.4 では configure --enable-sit でmake install したあと、 使うときには dig +sit を指定する。

cookieが有効になっているようです。 (😛microsoft\.com 相手に確認)

1.4. nic.ad.jp

この説明(一面的)からは、毒盛対策にはならない印象だが。(誤解であることを願う)

https://www.nic.ad.jp/ja/newsletter/No34/0604.html

NSEC3の他には、新たにDNS Cookieの話題があがりました。 これは、HTTPで利用されているCookieと同様で、DNSサーバは応答時のAdditional Sectionに仮想的なCookieレコードを加え、クライアントに自分のCookieを発行します。

クライアントは以後このCookieを利用して問い合わせを行います。 これにより、詐称されたIPアドレスからの問い合わせにはCookieが含まれない、もしくは異なったCookieが含まれる可能性が高くなり、その場合には短いエラーメッセージを返答することで、DNSサーバをパケット増幅器として利用したDoSを防ごうというものです。この話題は今回初めて議題にあがったものであり、これからの方向性はまだわかりませんが、議論は続いていくと思われます。

https://security.stackexchange.com/questions/109942/why-include-dns-client-cookie-in-dns-server-cookie-computation

1.6. powerdns

2015年時点での話: サポート予定なし https://blog.powerdns.com/2015/05/26/powerdns-needs-your-help-what-are-we-missing/

1.7. PGP

http://computersecuritypgp.blogspot.jp/2016/06/dns-cookies.html

On the other hand, if the server receives a server cookie along with the client cookie, it will verify the cookie and then process the request.

It will then generate a response and send that along with the new server cookie if it generates one.

(毎回作り直すべきだが、client cookieを送り返さないのではclient側はserverを検証できないか。)

クライアントは同一のサーバに対してはサーバcookieを付けるなら