DNSOPS.JP BoF #dnsops

http://www.dnsops.jp/bof20120425.html 会議名: DNSOPS.JP BoF 日 時: 2012年4月25日(水) 18:00-20:00 会 場: 品川イーストワンタワー 21F 大会議室 (*2)
インターネット
5
Yasuhiro Morishita @OrangeMorishita
ちなみにタイトルは「10分でわかる幽霊ドメイン名、、、」 #dnsops
Yoshikazu GOTO @goto_ipv6
森下さん:幽霊ドメインの話です。 #dnsops
Yoshikazu GOTO @goto_ipv6
森下さん:NS削除の妨害ができる。 #dnsops
Yoshikazu GOTO @goto_ipv6
森下さん:不正使用されているドメインを強制的に移転することを妨害される。NSを上位のレジストリで強制的に書き換えたのに、古い方に行ってしまうということで。 #dnsops
mikiT / 高田美紀 / たかたみき @mikiT_T
#dnsops 「10分でわかる幽霊ドメイン名...と浸透問題との関係」御馴染みオレンジ森下さん。10分で終わるでしょうか(^^) http://t.co/O9iNc6Kt
拡大
Yoshikazu GOTO @goto_ipv6
森下さん:新しくドメイン名を登録したのにもかかわらず、昔の名前で出ています、という状態になっていることがあるよ、ということも。 #dnsops
Yoshikazu GOTO @goto_ipv6
森下さん:実は、これは浸透問題では?→あきみち @geekpage さん #dnsops
Yoshikazu GOTO @goto_ipv6
森下さん:幽霊ドメイン名→古い権威サーバを使わせ続ける 浸透問題→古い権威DNSサーバを使い続けてしまう #dnsops
Yoshikazu GOTO @goto_ipv6
森下さん:IW2011ランチセミナーでの資料。 #dnsops
Yoshikazu GOTO @goto_ipv6
森下さん:同じもの?→浸透問題は 9.2.3で対策されたはず。 ・でも、つい最近までBINDに幽霊ドメイン名問題が残っていた→浸透問題をすり抜ける方法で攻撃が。 #dnsops
Yoshikazu GOTO @goto_ipv6
森下さん:浸透妨害攻撃、と名づけました。仮称です。 #dnsops
fine! @fine3152
幽霊ドメインは浸透問題をすり抜ける問題  浸透妨害攻撃(仮称)#dnsops
Yoshikazu GOTO @goto_ipv6
森下さん:浸透妨害攻撃(仮称)とは?: ・9.2.2までのBINDでは成立 ・実はとてもシンプル ・名前を索くだけ。キャッシュが消える前に。 ・つまり、「おかしいな、DNSがまだ浸透しないぞ」と言って引き続けると、古い情報が残ったままになってしまう。 #dnsops
Yoshikazu GOTO @goto_ipv6
森下さん:対策: ・BIND 9.2.3では、同じNS情報が来たら受け付けないようにした。 #dnsops
Yoshikazu GOTO @goto_ipv6
森下さん:攻撃方法は?: ・NSをレコードの内容は違うが、NSで指定されているホスト名のA/AAAAレコードの内容は同じ設定を意図的に作成。 ・浸透妨害攻撃と同じように攻撃を仕掛ける(名前を索くだけ) #dnsops
fine! @fine3152
幽霊ドメイン名の攻撃方法、意図的に浸透問題と同じ状況を作る #dnsops
Yoshikazu GOTO @goto_ipv6
森下さん:Unbound/BINDにおける対策: ・NSでの設定は受け入れるがTTLは増やさない ・Unboundのこの対策のほうが、BIND9での対策よりも良かった。 →後日、BINDも対応した。 #dnsops
Yoshikazu GOTO @goto_ipv6
森下さん:みなさん、BINDをアップデートしてくださいね。 #dnsops
fine! @fine3152
10分で解る幽霊ドメイン名問題、対策はBINDのバージョンを上げる事 #dnsops
Yasuhiro Morishita @OrangeMorishita
GREE海老沢さん、GREEにおけるDNS運用とPrimDNSについて。 #dnsops
残りを読む(156)

コメント

コメントがまだありません。感想を最初に伝えてみませんか?

ログインして広告を非表示にする
ログインして広告を非表示にする