-
- いいね!0
mi
@wintry_scene
残念なことに、DNSはキャッシュされたエントリは、DNSリゾルバで上書きすることができ、キャッシュ更新のロジックは、厳密に定義されていません。(Google翻訳)
2012-02-10 11:26:45
mi
@wintry_scene
IntroductionをGoogle翻訳で読んだ感じだと、キャッシュを上書きすることができるから、何らかの形で攻撃者に委譲されてしまうと上位のデータをどうこうしたところで手が付けられないよ ってことかな?ってことは、どうやって上書きするのかが問題なのか
2012-02-10 12:01:18
DNSはむずかしい
@beyondDNS
「深刻ではない」:ISCの報告を読んでいないのか。見ないふり? 深刻だが、BINDだけの問題ではない。すぐに対策できない。 (それは「深刻ではない」とは違うもの) キャッシュクリアと共用キャッシュやめる くらい。
2012-02-10 14:31:01
Yasuhiro Morishita
@OrangeMorishita
当該のフレーズを再掲しておこう。「・既にキャッシュされているデータと同じ信頼度のデータが来た場合にキャッシュDNSサーバーがどのようにふるまうかは、DNSプロトコルでは決められていない」
2012-02-10 16:47:29
DNSはむずかしい
@beyondDNS
オープンリゾルバーをやめさせても、Ghost対策という意味での安全にはならない。(別の危険もあるので、オープンリゾルバーでいいという意味ではないが。)
2012-02-10 18:28:15
誠実・石油減耗時代
@qmailjp
@wintry_scene 話の発端を誤解していそう。悪いやつのドメインを上位サーバで消しても影響を受けるキャッシュサーバを維持できるという話です。
2012-02-10 18:32:53
DNSはむずかしい
@beyondDNS
[重複]がでないから、キャッシュを提供している業者はなにも対応しないのか。お客さんにはなんの通知もしないでいいのか。(なにもしないのだろうな。)
2012-02-10 18:35:58
DNSはむずかしい
@beyondDNS
@OrangeMorishita 「ゾンビ化」という語があるそうです。調べてみられたら。論文に使うような単語ではないのかもしれないけど、今回の内容(起源)にはふさわしいような気がします。自然(?)発生した幽霊というより、殺されたというイメージもあるとよりふさわしい。
2012-02-10 18:55:43
Yasuhiro Morishita
@OrangeMorishita
@beyondDNS ありがとうございます。killで死なないプロセスと同様のイメージですか。
2012-02-10 18:58:27
mi
@wintry_scene
@qmailjp 誤解していそうという箇所は、「影響を受けるのが該当するドメインをキャッシュしたキャッシュサーバ」というような記述が欠けていたというところでしょうか。それとも、上位サーバが削除した後でも悪い事ができる、という問題意識でなかったあたりでしょうか
2012-02-10 18:58:39
誠実・石油減耗時代
@qmailjp
@wintry_scene 書いたことをそのまま読んでもらえれば、後者だと分かるはずなんですが、それ以外の受け止め方ができますか。(行間を読めとはいいません。)
2012-02-10 19:08:32
誠実・石油減耗時代
@qmailjp
@wintry_scene 「何らかの形で攻撃者に委譲されてしまうと」がひっかかったのです。悪い奴だって正規の手続きでドメインを取得できるのだから。
2012-02-10 19:10:46
mi
@wintry_scene
@qmailjp 一応、正規の手続きで委譲されたものも含ませたつもりでしたが、読み返してみるとそうとは全く読めないですねw むしろ、正規の手続きで取得したものでも無効にできない、ということの方が問題なんですね
2012-02-10 19:20:39
誠実・石油減耗時代
@qmailjp
@wintry_scene 上位が委譲を取り消しても、それを末端(キャッシュ)に伝える手段がない。つまり、キャッシュ側で十分注意していないといけないということです。 (そうしなくていいと解釈するひとは、セキュリティに関心がないひと)|
2012-02-10 19:26:49
Yasuhiro Morishita
@OrangeMorishita
RT @qmailjp: @wintry_scene 上位が委譲を取り消しても、それを末端(キャッシュ)に伝える手段がない。つまり、キャッシュ側で十分注意していないといけないということです。 (そうしなくていいと解釈するひとは、セキュリティに関心がないひと)|
2012-02-10 19:29:19
Yasuhiro Morishita
@OrangeMorishita
.@qmailjp @wintry_scene はい、当該論文の6. Related WorkのDNS Cache Inconsistency. などに書かれています。> 上位が委譲を取り消しても、それを末端(キャッシュ)に伝える手段がない。
2012-02-10 19:31:53
Yasuhiro Morishita
@OrangeMorishita
(論文より) ... authoritative servers cannot propagate data changes to resolvers in a timely way, failing completely in the ghost domain case.
2012-02-10 19:37:39
Yasuhiro Morishita
@OrangeMorishita
@OrangeMorishita ようはこれ、propagateっていうぐらいで「浸透させることはできない」と言っているわけです。他にもさまざまな既存の問題について、きちんと指摘されています。
2012-02-10 19:38:58