MoinQ:


DNSSECのことではありません。-- ToshinoriMaeno 2019-03-05 01:08:43

https://dhavalkapil.com/blogs/DNS-Security/

1. DNS/security

DNS/vulnerabilities http://www.l0t3k.org/security/docs/dns/

http://www.itmedia.co.jp/enterprise/articles/0612/11/news035.html 意外と知られていない? DNSが抱えるセキュリティ問題 (2006年のことです)

関心がないからでしょう。 -- ToshinoriMaeno 2011-05-29 06:59:46


security  機密性、保全性、可用性という邦訳

1.1. なにを勉強すべきか

構成原理が簡単なだけに、多くを運用に依存している。(制約が少ない。問題を起こさないように運用するには...)

世間でのDNSの受け止め方の問題。

RFC (RFC を勉強することを軽視する風潮も)

BINDなどのサーバーソフトウエア、サーバ運用環境、DNSレコード設定、などの他に、 DNS登録システム(レジストラ、レジストリ)などの問題、脆弱性を知る必要がある。

そして、DDoSとか、毒盛なども。DNS/毒盛

運用にあたる組織(人間)が一番の弱点w

「ドメイン乗っ取り」という現象面での表現がひとり歩きして、実際に行われたことの説明はいっさいされない世界だ。

「わかりやすい説明」という理由で、あやしげな用語をひろめようとする組織。

利権を守ること以外にはなにもしようとしない人たちも。

1.2. 分析

  1. ドメイン名の権利の販売(ICANN以下、販売者) Domain Name Theft and Hijacking という話題も
  2. 分割管理の仕組み(レジストリ、レジストラ、登録者)
  3. DNSサーバソフトウエア作成者(ISCなど)
  4. DNSレコード登録者
  5. ゾーンサーバ運用者
  6. キャッシュサーバ運用者
  7. セキュリティ業者

1.3. DNS forgery

DJB : http://cr.yp.to/djbdns/forgery.html

1.4. cache poisoning

1.4.1. Kashpureff

https://en.wikipedia.org/wiki/AlterNIC

1.4.2. Kaminsky

2008 Blackhat

1.4.3. After Kaminsky

DNS/security/Wouters-BlackHat DNSSECの前にもやれることがいろいろある。

1.5. Fragmentation Considered Poisonous

フラグメントのすり替えは大変危ない。

1.6. DNSSEC

DNSSECはあわてて対応するようなものではない。

1.7. UDP

となりのPCが攻撃者に操られているとしたら、自分のPCを守らないといけない。

-- ToshinoriMaeno 2011-07-08 04:45:17

1.8. 「浸透」いうな

浸透しないから鬼域名問題へ