NSレコードへの毒盛が可能な現状では検討の優先度は低い。 -- ToshinoriMaeno 2015-08-12 08:28:31
1. DNS/毒盛/毒glue
DNS/用語/グルー JPNICによるKaminsky型攻撃の説明をみよ。
2. グルーではない
NSレコードについてくるAレコードがすべてglueだということではない。
- そして、より危険なのはこちらの方だ。
3. Additional Section A
だがglueではないAレコードも毒盛対象として狙われる。
そしてその防御は十分とは言えない。 DNS/毒盛/Kaminsky手法/解説と対策(民田)
4. 種類
キャッシュにおけるNSレコードの状態に対応して、Additional A の状態を検討する。
- さらに、Additional A が存在するかどうかにより、二つに分かれる。
そして、これらが上書きされるかどうかを検討する。
さらにAレコードが権威あるサーバからの権威ある返答(Answer Section)である場合も含めて検討すること。
すくなくとも以下の五つのケースについて、毒盛の可能性を検討する必要がある。
- なし
- 委譲情報のglue
- 権威情報の Additional
- NS 返答の Additional
- NS 返答と A 返答(Answer)
-- ToshinoriMaeno 2015-08-11 23:04:46
5. なぜ glue なのか
Kaminskyの説明についての疑問は多数あるが、一番はglueに毒入れしても、
- それが使われるのだろうかというものだ。
もしwww.foo.com A が google.com NS の glue でもあったとしたら、 (名前のすり合わせはするとして)
- google.com を誘導できるかもしれない。(実装依存)
だが、このあたりまで考えると、脆弱性のある実装をいろいろ想定して警告することよりも、
- 脆弱性をとりのぞいた実装を提案する方がよさそうだ。
-- ToshinoriMaeno 2015-08-12 08:04:18