DNSOPS.JP BoF #dnsops
-
- いいね!2
Yoshikazu GOTO
@goto_ipv6
森下さん:不正使用されているドメインを強制的に移転することを妨害される。NSを上位のレジストリで強制的に書き換えたのに、古い方に行ってしまうということで。 #dnsops
2012-04-25 18:13:23
mikiT / 高田美紀 / たかたみき
@mikiT_T
#dnsops 「10分でわかる幽霊ドメイン名...と浸透問題との関係」御馴染みオレンジ森下さん。10分で終わるでしょうか(^^) http://t.co/O9iNc6Kt
2012-04-25 18:13:31
Yoshikazu GOTO
@goto_ipv6
森下さん:新しくドメイン名を登録したのにもかかわらず、昔の名前で出ています、という状態になっていることがあるよ、ということも。 #dnsops
2012-04-25 18:13:59
Yoshikazu GOTO
@goto_ipv6
森下さん:幽霊ドメイン名→古い権威サーバを使わせ続ける 浸透問題→古い権威DNSサーバを使い続けてしまう #dnsops
2012-04-25 18:15:01
Yoshikazu GOTO
@goto_ipv6
森下さん:同じもの?→浸透問題は 9.2.3で対策されたはず。 ・でも、つい最近までBINDに幽霊ドメイン名問題が残っていた→浸透問題をすり抜ける方法で攻撃が。 #dnsops
2012-04-25 18:16:30
Yoshikazu GOTO
@goto_ipv6
森下さん:浸透妨害攻撃(仮称)とは?: ・9.2.2までのBINDでは成立 ・実はとてもシンプル ・名前を索くだけ。キャッシュが消える前に。 ・つまり、「おかしいな、DNSがまだ浸透しないぞ」と言って引き続けると、古い情報が残ったままになってしまう。 #dnsops
2012-04-25 18:17:54
Yoshikazu GOTO
@goto_ipv6
森下さん:攻撃方法は?: ・NSをレコードの内容は違うが、NSで指定されているホスト名のA/AAAAレコードの内容は同じ設定を意図的に作成。 ・浸透妨害攻撃と同じように攻撃を仕掛ける(名前を索くだけ) #dnsops
2012-04-25 18:19:20
Yoshikazu GOTO
@goto_ipv6
森下さん:Unbound/BINDにおける対策: ・NSでの設定は受け入れるがTTLは増やさない ・Unboundのこの対策のほうが、BIND9での対策よりも良かった。 →後日、BINDも対応した。 #dnsops
2012-04-25 18:20:17
Yoshikazu GOTO
@goto_ipv6
森下さん:まずは論文を読みましょう。 http://t.co/mXzRWJvs.con/duanhx/ #dnsops
2012-04-25 18:20:44
Yasuhiro Morishita
@OrangeMorishita
GREE海老沢さん、GREEにおけるDNS運用とPrimDNSについて。 #dnsops
2012-04-25 18:23:31