## page was renamed from DNS/1/RFC/3833 ## page was renamed from DNS/基礎知識/RFC/3833 ## page was renamed from DNS/RFC/3833 DNS/RFC/3833について、ここに記述してください。 http://www.ietf.org/rfc/rfc3833.txt {{{ Network Working Group D. Atkins Request for Comments: 3833 IHTFP Consulting Category: Informational R. Austein ISC August 2004 Threat Analysis of the Domain Name System (DNS) Status of this Memo This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited. }}} == Abstract == {{{ Although the DNS Security Extensions (DNSSEC) have been under development for most of the last decade, the IETF has never written down the specific set of threats against which DNSSEC is designed to protect. }}} {{{ Among other drawbacks, this cart-before-the-horse situation has made it difficult to determine whether DNSSEC meets its design goals, since its design goals are not well specified. This note attempts to document some of the known threats to the DNS, and, in doing so, attempts to measure to what extent (if any) DNSSEC is a useful tool in defending against these threats. }}} http://jprs.jp/tech/material/rfc/RFC3833-ja.txt {{{ DNSSEC開発に関して様々な問題が指摘されてきたが、この本末転倒状態のために 設計目標が不明確で、DNSSECが設計目標を満たしているか判断することが 困難となっていた。 }}} この訳は不適当だと思われる。 ------ (前野の訳) IETFはDNSECが防御すべき脅威を明記していないままだ。 さまざまな問題のなかでも、とりわけこのcart-before-the-horse状況は DNSSECの設計目標がきちんと定義されていないために、 DNSSECが設計の目標に合致しているのか判断することを妨げるままになっている。 ---- RFC3833がでたあと、DNSSECの設計目標があきらかになったかどうかはまだ調査できていない。-- ToshinoriMaeno <> == 脅威の分類 == 藤原のスライドから http://www.ieice.org/~ia/archives/ia20140906/20140912-ia-fujiwara.pdf {{{ A.中間者攻撃 B.キャッシュポイズニング C.権威DNSサーバの乗っ取り D.サービス不能(DoS)攻撃 E.DNSリフレクター攻撃 }}} {{{ 中間者攻撃 * クエリの全情報を使えるので、確実に入る * TCPでも防げない * エンドノードでのDNSSEC検証やTSIGで検知可能 }}} 防げるかどうかの問題なのだろうか。  TCPとUDPでは陥落させ易さに開きがあるのに、無視しているようだ。 キャッシュポイズニングのうち、長期にわたってゆっくり行うものは検知しづらい。 ドメイン名登録情報の改竄: 登録者パスワードの脆弱性やパスワードリカバリ– レジストリやレジストラ、リセラのシステムの脆弱性 == RFC 3833 目次 == {{{ 1. Introduction 2. Known Threats 2.1. Packet Interception 2.2. ID Guessing and Query Prediction 2.3. Name Chaining 2.4. Betrayal By Trusted Server 2.5. Denial of Service 2.6. Authenticated Denial of Domain Names 2.7. Wildcards 3. Weaknesses of DNSSEC DNSSEC is complex to implement and includes some nasty edge cases at the zone cuts that require very careful coding. 4. Topics for Future Work 4.1. Interactions With Other Protocols 4.2. Securing DNS Dynamic Update 4.3. Securing DNS Zone Replication 5. Conclusion }}}