1. DNSの基礎

DNS入門を済ませた人を対象にしている。

• 名前解決と言われているDNSの動作をひと通り理解して、 他人に説明できるようになることまでが「基礎」だということにしました。

「浸透いうな」とか「DNSサーバの移転」とかは含みません。 「内部名」や「グルー」も含みません。ｗ

でも、DNSは未熟なので、DNS/脆弱性 に触れないのはまずい。/脆弱性 DNS/毒盛

---

前提：DNS入門/初級ではDNSの仕組みをひと通り学んだ。

DNSを活用する上で一番重要なのはDNS/ゾーンだと考えます。

• ゾーンとはなにか、をまずきちんとおさえましょう。-- ToshinoriMaeno 2016-10-01 10:56:43

2. 復習

2.1. ドメイン名空間とゾーン

• DNS/ドメイン名空間、DNS/ゾーン

  • ドメイン空間での名前の衝突をさけるためにゾーンに分けたこと

  /ゾーンは独立した管理の単位だと考えます。

2.2. DNS資源レコード

ドメイン名には資源レコードをもたせることができる。 DNS/1/資源レコード/NS

2.3. ゾーン管理

分けられたゾーンを連携させる仕組みを勉強する。（問題なく動くのか、検証しながら）

• それには情報交換で使われるDNS/1/メッセージを知る必要がある。

DNS/1/委譲 を確認できるだけのスキルも必要か。（浸透遅いと言わないために）

---

DNS/索引 が役にたつと信じる。-- ToshinoriMaeno 2016-09-20 00:54:43

• 中級のあとに続くのはDNS/上級だが、それは現状では私の手にはあまる。

3. 目標

/中級1 では、

RFC 1034, 1035 を読むことにしよう。

• 初級で学んだことの裏付けをする。DNS/1/messages, DNS/1/delegation

そして、修了時には

DNSゾーンサーバが自作できるようになることを目標とする。

• リゾルバー（キャッシュサーバ）の動作を調べるには、 おかしな動作（返答）をするゾーンサーバも動かす必要があるのだが、 既存のゾーンサーバで自由にそのような動作をさせることは難しいからである。ｗ

-- ToshinoriMaeno 2016-09-19 08:23:08

DNSの抱える問題も知っておく必要がある。-- ToshinoriMaeno 2016-09-27 00:38:54

• reflector攻撃に使われる弱点、オープンリゾルバーとかホームルータ付属のDNS機能とか。
  • 「水責め」という言葉を聞いたことがあるだろう。

DNS/キャッシュポイズニングが実行可能になるDNSの弱点を理解する。

4. 中級の話題

中級の1,2に分ける予定の項目。(3も欲しくなってきた。ｗ）

1. DNS/1/messages　DNS問い合わせと返答

2. DNS/1/delegation

3. DNS/1/資源レコード

4. メール配送とMXレコード、SPFレコードなど (spam 対策)

ここまで復習でもあり、/中級1とする。

• まずはDNS返答の種類について学ぶのがよい。

以下の項目を../中級1と../中級2 に振り分ける。

1. ゾーンサーバの返事がいろいろあること。（実装依存）DNS/返答

2. DNS/1/キャッシュポイズニング Kaminsky流攻撃

3. 実装(による違い)の話 djbdnsのすすめ、unbound は?

4. BIND の問題点 (森下dis資料 #dnstudy)

   • http://www.slideshare.net/OrangeMorishita/20111029-part1dnsdis

5. 512バイトを越える返答(EDNS0)など
6. 共用キャッシュサーバの危険性(Google Public DNS はどうか。)
7. glue とはなにか。「グルー、内部名」(JPRS)とはなにか。

このあたりまで来たら、DNSSECとはなにかを考えるのもいいだろう。

この先は/中級3ということにする。

• DNS/1/コンテンツサーバ/移転 (浸透待ちは都市伝説)

  • TTLの重要性 DNS/「浸透待ち」問題/研究会

• TTL設定 (運用でカパー）
• CNAMEの危うさ (キャッシュポイズニング）
• Ghost Domain Names 脆弱性(リゾルバー）
• 親子ゾーン同居問題を掘り下げる(共用ゾーンサービス）

• 共用DNSサービスの危険性 (さくら、dozens、value-domain, 21-domains, cowboy, marverick)

• visa.co.jp　NS ドメイン失効（登録NSに注意）

http://www.e-ontap.com/dns/onsenextra2016/　（スライド18)

• 「ネームサーバ移転のノウハウ」はタイトルとしておかしい。（運用？）

適切な NS 移転の要点
    ケースバイケースであり自分で考えないとダメ (手順は一人歩きするので指南しない) 

• DNSゾーンサーバの引越しがきちんとできるなら、初級は修了、いや、中級も卒業目前か。
  • 入門で引っ越しを説明しても、理解できないでしょう。

-- ToshinoriMaeno 2016-08-05 05:30:30

5. ゾーンサーバからの返答

返答メッセージの形式を把握したら、内容を吟味する。

• 各セクションについて

ゾーンサーバーにより、返答が異なることが読み取れるか。

• ゾーン例：root-servers がどのような返事をするか。（jp ゾーンのdelegation）

6. トラブル

lame delegation

7. DNSの脆弱性の理解

Kaminsky流攻撃がどういうものかを説明できますか。

• Kaminsky流攻撃を使った毒盛の危険性とはどういうものですか。
  • Mueller型毒盛
  中級を修了するには理解は欠かせない。（つまり、ほとんどのひとは修了していない）

Ghost Domain Names脆弱性とは？

親子ゾーンの同居にはどういう問題がありますか。

8. キャッシュポイズニング脆弱性

偽返答を受け取ってしまったら、リゾルバーはどういう動作をするだろうか。

/中級2 ではキャッシュポイズニングについて考える。

その前に偽返答がリゾルバーに届くのはどういう場合なのか。

JPRSのいう「委任インジェクション」を説明できますか。

• 2008年にMuellerが指摘しているのですが。

---

「初心者のためのDNS運用入門」 : これもタイトルがおかしい。

• 運用は初心者がやるものではないとか。ｗ

運用は初めてかもしれないが、DNSに関しての知識は十分なければだめです。 （未熟な）DNSの運用は素人が手出しすると、怪我します。

-- ToshinoriMaeno 2016-08-05 05:51:52