<<Navigation(children,1)>>
----
<<TableOfContents()>>
[[[DNS/abuse]]  [[DNS/セキュリティ]] 

[[DNS/hijacking]] は用語としては適切ではないと考える。

[[/ドメイン乗っ取り]]

 [[DNS/lame_delegation]]   [[DNS/脅威/共用ゾーンサービス/floating_domains]]
{{{
フラグメント化とフラグメントすり替え攻撃の危険性を再認識した。
　中京大の鈴木教授に感謝する。教授の指摘したNS毒盛以外にも危険性がある。
----
DNS(の実装)は脆弱です。脆弱性の百貨店です。カバーすべき運用ではカバーしきれていません。
  DNSを信用するのは危険です。接続した相手が目的のサイトかどうか確認する手段を探しましょう。
}}}

だからと言って、この記事のまま放置しておいてはまずいでしょう。
https://twitter.com/OrangeMorishita/status/988958907455258625
{{{
「BGPとDNSの脆弱性はよく知られていて、過去にも攻撃が発生していた。
しかし両方を組み合わせたこれほど大規模な攻撃を目にしたのは初めて。
インターネットセキュリティがいかに脆弱かを物語る」。
}}}

「XXのDNSがハイジャックされ」という間違い記事が拡散してしまっていますから、もう手遅れでしょう。
　こんな調子でDNSに注目されてもありがたくないだろうし、DNSSECを売り込むのはみっともない。

[[DNS/セキュリティ]] http://www.e-ontap.com/blog/20141107.html

リゾルバー(キャッシュサーバー)はKaminsky流手法による毒盛攻撃に弱いものが多い。(UDP利用の場合)

DNSSECによって回避できると主張するひともいるが、それが証明されたとは思えない。
　また、DNSSECの運用には多大な手間がかかるので、普及は難しいだろう。
-- ToshinoriMaeno <<DateTime(2017-12-17T20:23:41+0900)>>

TCPをサポートするのは以前から必須であり、現在はUDPを使わなくてもよいとなっている。
　今後はTCPだけを使うリゾルバーが増えるだろう。-- ToshinoriMaeno <<DateTime(2018-06-09T00:09:28+0900)>>

[[DNS/脆弱性]]

[[DNS/privacy]]  [[DNS/qname-minimisation]]

http://conferences.sigcomm.org/sigcomm/2004/papers/p595-pappas111.pdf

DNSという実験的プロトコルにはさまざまな脆弱性が存在する。
　多くは実装によって回避されているが、
　運用によって回避されるものもある。(脆弱性は公表されることが少ない。)

また、実装によって引き起こされた脆弱性もあり、運用で回避するしかないものもある。
　しかし、実装の欠陥が運用で気づかれることは難しく、発現するものもある。
-- ToshinoriMaeno <<DateTime(2017-12-17T20:21:45+0900)>>

= ドメイン名 =
== 登録代行業者 ==
いわゆるレジストラ

== 捨てられるドメイン名 ==
いろいろありますね。

== 紛らわしいドメイン名 ==
防衛的にドメインを取らせようとする業者も。

= ゾーンサーバー =
実装の欠陥、いろいろ。NXDOMAIN 返答

== ゾーンファイル ==
設定不良、いろいろ

== 共用ゾーンサービス ==
[[/共用ゾーンサービス]]は乗取に脆弱なことが多いようだ。

== キャッシュ兼用サーバ ==
登録に制限がないと怖いことに。

= リゾルバー =
== キャッシュ毒盛 ==
共用キャッシュサーバーは脆弱かも。ISPの提供するものは信用したくない。

ニセ返答を受け入れさせて、キャッシュさせる。
　[[DNS/毒盛]] で解説。
== リゾルバー実装 ==
[[DNS/鬼域名]]　で見られたような[[/リゾルバー]] 実装の不備

= レジストラ =
DNSに関係しない手法で侵入される例があった。手口は公表されていない。対策も不明。

== 管理権限奪取 ==
ccTLD レジストリを含む

= gTLD =
Emergency Back-End Registry Operator program.　EBERO
　　http://domainincite.com/22372-as-wed-goes-ebero-did-the-first-new-gtld-just-fail

もうDNSSECを使うくらいか。　

{{{
DNS情報を信用してはいけない。他の手段で確認すること。
}}}

== DDoS ==
http://www.shortestpathfirst.net/2009/11/12/hardening-dns-against-reflection-attacks-and-flooding-attacks/
== 人、組織 ==
キャッシュをクリアするくらいしかできないと思っているひとたちも



----
-- ToshinoriMaeno <<DateTime(2015-07-13T07:54:52+0900)>>