## page was renamed from DNS/毒盛/Mueller/fujiwara == DNS/毒盛/Mueller/fujiwara == 9月になってもこう言っている。(まともな対策案を出せない)  対策案がないから、警告も出せないということなのか。 ---- 2014年電子通信学会 (9月になって、学会での発表) == 発表 == 藤原 和典 http://www.ieice.org/~ia/archives/ia20140906/20140912-ia-fujiwara.pdf 「根元」は攻略されたのか ~ DNSキャッシュポイズニング攻撃とその対策について 改めて考える ~ (最初のスライドすら、おかしいが)   攻略されていないという主張かと思ったら、... -- ToshinoriMaeno <> ---- slide 47 権威DNSサーバでの対策 {{{ • NSがないドメイン名はすべて攻撃対象 • 子孫と同居しているとすべて攻撃対象 ということで、   一段ごとに完全にゾーン分割   一段ごとに権威DNSサーバを分離 するとある程度守れるのではないか }}} slide 48 ホスト名の守り方 {{{ • ホスト名 ごとに ゾーンとDNSサーバアドレスを分ける • ホスト名と同じアドレスをホスト名ゾーンのDNSサーバとする }}} {{{ 問題点 –サービスアドレスと、権威DNSサーバが同じアドレス – 変更時には上位のグルーと下位を同時に変更 – 権威DNSサーバのアドレスを増やすと、サービスアドレスも増える – 内部名のDNSサーバ名には適用不可能 •なぜなら、親子同居になるため •どこかには必ず内部名のDNSサーバが必須のため、どこかで負ける – RFC 2181 Ranking問題のバグを持つサーバへの注入は可能 }}} slide 49 {{{ 中間ドメイン名の守りかた •すべての階層をゾーンに分割– IPv6の逆引きどうするんでしょうか? }}} slide 50 {{{ JPでの 中間ドメイン名対策の可能性 }}} ---- {{{ 中間ドメイン名(dns.jp) • 2014/6/24 JPRSはdns.jpをJP DNSから分離しました – IPアドレスも変更 }}}