Contents
1. DNS キャッシュサーバ
1.1. 仕様の現状
DNS/キャッシュサーバ/動作に関しては実装任せです。 (RFC 1034 に参考程度)
- RFCはまともな動作(問題なく動作するという意味で)を記述していない。
BINDが事実上の規格だが、それが問題を生み出してきた。 dnscache, unbound,deadwood などのキャッシュサーバ実装が使えるようになって、 BINDだけの時代よりは多少ましになった。
キャッシュサーバで一番重要なこと: どこのゾーンサーバからデータを入手すべきかを決めること。
- (RTTなどのことではなく、信用すべきかどうかを決定することです。念のため) よほどひどい状態ならともかく、性能チューニングはあとでよろしい。
偽返答を受け取ってしまっても、毒盛されにくいようにすることも重要です。-- ToshinoriMaeno 2014-03-06 03:17:27
http://D/intro-dns.html DNSの動作原理
「キャッシュサーバの動作」はまともに定義されていないようだ。 こんな状態でDNSSECの署名が確認できるのか。
1.2. 脆弱
DNS/毒盛 DNS/キャッシュ毒盛/対策 は本当に実現されているのか。
http://www.lurhq.com/dnscache.pdf DNS Cache Poisoning -The Next Generation
http://www.ciac.org/ciac/bulletins/j-063.shtml DNS DoS Attacks (1999)
公開/共用のキャッシュサーバは毒盛されやすい。
キャッシュサーバの実装 ソースが公開されているもの DNS/実装/リゾルバー
1.3. 共用キャッシュサーバ
free public DNS servers: http://pcsupport.about.com/od/tipstricks/a/free-public-dns-servers.htm
/eaccess.ne.jp キャッシュサーバの問題 --> TCP サポートなし。
/kddi.ne.jp は OK
/so-net.ne.jp も調査した。 TCP, EDNS0 サポートあり。
ocn.ne.jp: http://www.ocn.ne.jp/info/tech/netset/ はどうか。
- 202.234.232.6 221.113.139.250 接続拒否された。
/sakura.ad.jp さくらもOK (TCP, EDNS0 OK)
- %dig @210.188.224.10 any iij.ad.jp
;; Truncated, retrying in TCP mode.
/sphere.ne.jp (TCP, EDN0 OK)
- 203.138.63.115, 203.138.63.123
1.3.1. TCP mode
/eaccess.ne.jp キャッシュサーバの問題 -- ToshinoriMaeno 2011-05-18 15:27:34
kddi: OK ;; Truncated, retrying in TCP mode.
プライマリDNS: dns01.hs.kddi.ne.jp. IPアドレス: 211.134.181.104. セカンダリDNS: dns02.hs.kddi.ne.jp. IPアドレス: 211.134.181.105.
1.3.2. EDNS0
/kddi.ne.jp は OK
- DNSSEC を使うなら、 EDNS0は必須。 A6 はexperimental になった。
AAAAはどうなっているか。
- 苦労して、返答を512バイトに押し込んでいる様子。
root, TLD サーバなら、 TCPを避けたいのも分かるが、通常のドメインやキャッシュでTCPを使わない理由があるのか。
1.4. キャッシュサーバの動作の調査
yatz.qmail.jpドメインを使って、/free-publicなどを調査している。 -- ToshinoriMaeno 2011-07-25 02:13:14
1.5. 浸透問題
移転後も旧サーバをキャッシュしつづけるキャッシュサーバがあるのか。/浸透問題
2. 毒盛される危険性
キャッシュサーバの弱点 /毒盛
Kaminskyの発見は「TTLで守られている」と思っていたことが幻想であったことを示したことである。
2.1. リンク
| /実装 |