## page was renamed from DNS/1/security
## page was renamed from DNS/基礎知識/security
## page was renamed from DNS/security
<<Navigation(children,1)>>
----
DNSSECのことではありません。-- ToshinoriMaeno <<DateTime(2019-03-05T10:08:43+0900)>>
　DNSSEC以前に知っておくべきことがある。 やるべきこともたくさんある。
https://dhavalkapil.com/blogs/DNS-Security/


= DNS/security =
<<TableOfContents()>>

[[DNS/vulnerabilities]]
http://www.l0t3k.org/security/docs/dns/
 DNS Security and Vulnerabilities: The Complete Documentation
  This category contains 13 Papers
   * DNS Cache Poisoning - The Next Generation
     Published on 2003-01-20,  by Joe Stewart (これが最古という訳ではないが）

http://www.itmedia.co.jp/enterprise/articles/0612/11/news035.html
意外と知られていない？　DNSが抱えるセキュリティ問題 (2006年のことです）

関心がないからでしょう。　-- ToshinoriMaeno <<DateTime(2011-05-29T15:59:46+0900)>>

----
[[security]]　　機密性、保全性、可用性という邦訳 

== なにを勉強すべきか ==
構成原理が簡単なだけに、多くを運用に依存している。（制約が少ない。問題を起こさないように運用するには...)
　使えるかどうかを実験するために始めたDNSだった。

世間でのDNSの受け止め方の問題。

RFC (RFC を勉強することを軽視する風潮も）

BINDなどのサーバーソフトウエア、サーバ運用環境、DNSレコード設定、などの他に、
DNS登録システム（レジストラ、レジストリ）などの問題、脆弱性を知る必要がある。

そして、DDoSとか、毒盛なども。[[DNS/毒盛]]

運用にあたる組織（人間）が一番の弱点w

「ドメイン乗っ取り」という現象面での表現がひとり歩きして、実際に行われたことの説明はいっさいされない世界だ。
　無責任な業界、関心のない利用者たち。

「わかりやすい説明」という理由で、あやしげな用語をひろめようとする組織。

利権を守ること以外にはなにもしようとしない人たちも。

== 分析 ==
 1.  ドメイン名の権利の販売（ICANN以下、販売者）  Domain Name Theft and Hijacking という話題も
 2. 分割管理の仕組み(レジストリ、レジストラ、登録者）
　　　http://jprs.jp/tech/security/2014-11-05-unauthorized-update-of-registration-information.html
　　　　　http://internet.watch.impress.co.jp/docs/news/20141105_674588.html
　　　http://securityblog.jp/words/dns-hijacking.html
 3.  DNSサーバソフトウエア作成者（ISCなど）
 4.  DNSレコード登録者
 5.  ゾーンサーバ運用者
 6.  キャッシュサーバ運用者
 7.  セキュリティ業者

== DNS forgery ==
DJB : http://cr.yp.to/djbdns/forgery.html

== cache poisoning ==

=== Kashpureff ===
https://en.wikipedia.org/wiki/AlterNIC
=== Kaminsky ===
2008 Blackhat

=== After Kaminsky ===
[[DNS/security/Wouters-BlackHat]] DNSSECの前にもやれることがいろいろある。
  Defending your DNS in a post-Kaminsky world [[/post-Kaminsky]]

== Fragmentation Considered Poisonous ==
フラグメントのすり替えは大変危ない。

== DNSSEC ==
[[DNSSEC]]はあわてて対応するようなものではない。
　まずはDNSがきちんとしているか、確認しよう。それができないなら、DNSSECにはとても対応できない。

== UDP ==
となりのPCが攻撃者に操られているとしたら、自分のPCを守らないといけない。
　ネットワークはのぞき放題だと考えるべき。
-- ToshinoriMaeno <<DateTime(2011-07-08T13:45:17+0900)>>

== 「浸透」いうな ==
浸透しないから鬼域名問題へ
　脆弱性であることがあきらかになった。[[DNS/GDN]] [[DNS/GhostDomainNames]] [[DNS/浸透問題]]