昨日発生していたサイトログインできない不具合は修正されております(詳細はこちら)

DNS Summer Day 2020 #dnsops

https://dnsops.jp/event20200626.html
7
前へ 1 2 ・・ 12 次へ
Yoshikazu GOTO @goto_ipv6

・応答パケットに詰められるだけNSレコードを詰めると、74~1602倍に #dnsops

2020-06-26 10:18:03
Yoshikazu GOTO @goto_ipv6

修正前の挙動:BIND 9 ・委任先ドメイン名の IPアドレスを、応答を待たずに並列で問い合わせる →Aレコード、AAAAレコード両方を問い合わせるので 2倍 →攻撃対象の権威DNSサーバーが IPv6通信可能な場合、さらに 2倍 #dnsops

2020-06-26 10:19:29
Yoshikazu GOTO @goto_ipv6

→max-recursion-queries オプションで制限される #dnsops

2020-06-26 10:19:31
Yoshikazu GOTO @goto_ipv6

修正前の挙動:Unbound: ・委任先ドメイン名の IPアドレスを、応答を待たずに並列で問い合わせる →BIND 9と比べると、応答がないときの並列度は控えめ →総数には上限がなく、委任先がいくつあっても全て問い合わせている模様 #dnsops

2020-06-26 10:20:20
Yoshikazu GOTO @goto_ipv6

論文で提案された対策: ・派生した追加の問い合わせ数を制限 →権威DNSサーバーの名前解決が必要な場合、その回数に上限を設ける →並列度は実装任せだが、問い合わせ数を制限する形となる #dnsops

2020-06-26 10:21:07
つみき @mktk0808

内部名について盛り上がってた。 janog.gr.jp/meeting/janog4… #dnsops

2020-06-26 10:21:34
Yoshikazu GOTO @goto_ipv6

・対策として効果があり、副作用も軽微と主張 ・論文では他にもいくつかの対策が提案されている →多数の委任を含む応答を検知 →fetch-limit #dnsops

2020-06-26 10:22:04
Yoshikazu GOTO @goto_ipv6

修正後の挙動: ・派生した追加の問い合わせ総数が制限されるようになった ・BIND 9 →権威DNSサーバーの名前解決を試みた回数が 4回を超えていて、委任先の権威DNSサーバーが 5個を超えている場合に打ち切る #dnsops

2020-06-26 10:22:51
Yoshikazu GOTO @goto_ipv6

・Unbound →権威DNSサーバーの名前解決を試みた回数が16回を超えたら打ち切る → #dnsops

2020-06-26 10:23:10
ryu mizushima @ryu_z10

BIND9の委任先の権威DNSサーバの数ってIPv4とIPv6を合わせての数かな。 #dnsops

2020-06-26 10:23:25
かなか @jp_kanaka

#dnsops 権威側としてはなんもできんかな。

2020-06-26 10:24:36
Yoshikazu GOTO @goto_ipv6

『NXNSAttackの公表「CacheServeは?」』です。 #dnsops

2020-06-26 10:27:19
浸透いうな (浸透待ちは時に危険) @tss_ontap_o

内部名とは何かの質問に答えるには時間が足りませんね。#dnsops

2020-06-26 10:29:17
Yoshikazu GOTO @goto_ipv6

Akamai(CacheServe)はどこ? ・論文のサイトに掲載がない ・影響がないから入っていない? ・オープンソースではないから、一般の方は手に入れることが難しいから? #dnsops

2020-06-26 10:29:43
Yoshikazu GOTO @goto_ipv6

CacheServe 7.5.1.1 の動作: ・参照先の NS のアドレスを一つだけ解決しようとする ・NXDOMAINだと別のものを ・A と AAAA を合計 12まで問い合わせ、全て NXDOMAIN の場合は諦めて、SERVFAIL 応答 #dnsops

2020-06-26 10:33:56
Yoshikazu GOTO @goto_ipv6

名前解決のメッセージ数: ・論文では、通常の名前解決についても、理論上 3回のクエリで済むところ非常に多くのパケットが見られると指摘 #dnsops

2020-06-26 10:36:14
Yoshikazu GOTO @goto_ipv6

・CacheServe による microsoft\.com の結果の内訳 (11クエリ) →ルート・プライミング (1) →ルート、com.、microsoft\.com. のクエリと応答 (3) →予備的なNS (3) #dnsops

2020-06-26 10:36:17
Yoshikazu GOTO @goto_ipv6

→委任インジェクション対策のため (2+2) #dnsops

2020-06-26 10:36:18
Yoshikazu GOTO @goto_ipv6

参照先 NS 8つ (12) で十分なのか?: ・委任の情報は通常のキャッシュとは別に丁寧に管理 ・参照 NS の名前とそのアドレス解決状況を (不存在を含め) 保持 #dnsops

2020-06-26 10:37:12
Yoshikazu GOTO @goto_ipv6

あらかじめ NS のアドレスを解決しておかなくて良い?: ・CacheServe では一つずつ行っている →未解決の NS のアドレスをひとつ解決しておく →徐々に、委任情報のテーブルにアドレスや RTT の情報が埋まっていく #dnsops

2020-06-26 10:39:23
Yoshikazu GOTO @goto_ipv6

その他: ・Success-Based Rate-Limiting →権威DNSサーバーへの問い合わせ状況と失敗をモニタし、独自のアルゴリズムで自動的にクエリを調整 #dnsops

2020-06-26 10:40:42
Yoshikazu GOTO @goto_ipv6

・Prefetch Extension →権威DNSサーバーからの応答が得られない場合に限って TTL が満了したキャッシュから応答 #dnsops

2020-06-26 10:40:44
Yoshikazu GOTO @goto_ipv6

なぜ準備できていたのか?: ・開発当初より通信事業者を主なターゲットとしており、パフォーマンスだけではなく、セキュリティ、信頼性、可用性を重視 ・経験を活かしつつ、新しく作り直すことができた ・世界中の通信事業者における利用からのフィードバック #dnsops

2020-06-26 10:41:55
Yoshikazu GOTO @goto_ipv6

・現場や研究者などからの意見に対応 →例)キャッシュポイズニングに対しても、カミンスキー攻撃の発表前にも後にも継続的に様々な対策を実施 #dnsops

2020-06-26 10:42:54
マーカス🇨🇦 @cam_i8

BINDの実装に依存したアプライアンスとかって大丈夫なのかな〜とか思ってみた。 #dnsops

2020-06-26 10:44:57
前へ 1 2 ・・ 12 次へ

いま話題のタグ

社会17140 日テレ399 睡眠293 中学受験80 サーバー119 音楽36574 競馬1475 反AI55 ケーキ500 高身長36 らーめん再遊記7 日本テレビ280 トランスジェンダー507 ドカ食いダイスキ!もちづきさん8 大暮維人5