残念なことに、DNSはキャッシュされたエントリは、DNSリゾルバで上書きすることができ、キャッシュ更新のロジックは、厳密に定義されていません。(Google翻訳)
2012-02-10 11:26:45IntroductionをGoogle翻訳で読んだ感じだと、キャッシュを上書きすることができるから、何らかの形で攻撃者に委譲されてしまうと上位のデータをどうこうしたところで手が付けられないよ ってことかな?ってことは、どうやって上書きするのかが問題なのか
2012-02-10 12:01:18「深刻ではない」:ISCの報告を読んでいないのか。見ないふり? 深刻だが、BINDだけの問題ではない。すぐに対策できない。 (それは「深刻ではない」とは違うもの) キャッシュクリアと共用キャッシュやめる くらい。
2012-02-10 14:31:01当該のフレーズを再掲しておこう。「・既にキャッシュされているデータと同じ信頼度のデータが来た場合にキャッシュDNSサーバーがどのようにふるまうかは、DNSプロトコルでは決められていない」
2012-02-10 16:47:29オープンリゾルバーをやめさせても、Ghost対策という意味での安全にはならない。(別の危険もあるので、オープンリゾルバーでいいという意味ではないが。)
2012-02-10 18:28:15@wintry_scene 話の発端を誤解していそう。悪いやつのドメインを上位サーバで消しても影響を受けるキャッシュサーバを維持できるという話です。
2012-02-10 18:32:53[重複]がでないから、キャッシュを提供している業者はなにも対応しないのか。お客さんにはなんの通知もしないでいいのか。(なにもしないのだろうな。)
2012-02-10 18:35:58@OrangeMorishita 「ゾンビ化」という語があるそうです。調べてみられたら。論文に使うような単語ではないのかもしれないけど、今回の内容(起源)にはふさわしいような気がします。自然(?)発生した幽霊というより、殺されたというイメージもあるとよりふさわしい。
2012-02-10 18:55:43@beyondDNS ありがとうございます。killで死なないプロセスと同様のイメージですか。
2012-02-10 18:58:27@qmailjp 誤解していそうという箇所は、「影響を受けるのが該当するドメインをキャッシュしたキャッシュサーバ」というような記述が欠けていたというところでしょうか。それとも、上位サーバが削除した後でも悪い事ができる、という問題意識でなかったあたりでしょうか
2012-02-10 18:58:39@wintry_scene 書いたことをそのまま読んでもらえれば、後者だと分かるはずなんですが、それ以外の受け止め方ができますか。(行間を読めとはいいません。)
2012-02-10 19:08:32@wintry_scene 「何らかの形で攻撃者に委譲されてしまうと」がひっかかったのです。悪い奴だって正規の手続きでドメインを取得できるのだから。
2012-02-10 19:10:46@qmailjp 一応、正規の手続きで委譲されたものも含ませたつもりでしたが、読み返してみるとそうとは全く読めないですねw むしろ、正規の手続きで取得したものでも無効にできない、ということの方が問題なんですね
2012-02-10 19:20:39@wintry_scene 上位が委譲を取り消しても、それを末端(キャッシュ)に伝える手段がない。つまり、キャッシュ側で十分注意していないといけないということです。 (そうしなくていいと解釈するひとは、セキュリティに関心がないひと)|
2012-02-10 19:26:49RT @qmailjp: @wintry_scene 上位が委譲を取り消しても、それを末端(キャッシュ)に伝える手段がない。つまり、キャッシュ側で十分注意していないといけないということです。 (そうしなくていいと解釈するひとは、セキュリティに関心がないひと)|
2012-02-10 19:29:19.@qmailjp @wintry_scene はい、当該論文の6. Related WorkのDNS Cache Inconsistency. などに書かれています。> 上位が委譲を取り消しても、それを末端(キャッシュ)に伝える手段がない。
2012-02-10 19:31:53(論文より) ... authoritative servers cannot propagate data changes to resolvers in a timely way, failing completely in the ghost domain case.
2012-02-10 19:37:39@OrangeMorishita ようはこれ、propagateっていうぐらいで「浸透させることはできない」と言っているわけです。他にもさまざまな既存の問題について、きちんと指摘されています。
2012-02-10 19:38:58