MoinQ:

DNS/DNSSEC/限界/breaking-dnssecについて、ここに記述してください。

Breaking DNSSEC
D. J. Bernstein
University of Illinois at Chicago

1. slide 64

Easiest, most powerful attack:

Suppose an attacker forges a DNS packet from .org, including exactly the same DNSSEC signatures but changing the NS+A records to point to the attacker’s servers.

Fact: DNSSEC “verification” won’t notice the change.
The signatures say nothing about the NS+A records.
The forgery will be accepted.

2. 委譲

例えば、 DNS/watch/iij.ad.jp をみよ。

JPからiij.ad.jpドメインに委譲されていて、そのNSとA/AAAAレコードがある。

ただし、DSレコードがある。しかし、(偽)NS, A を使って、問い合わせて得たDNSKEYは正しいはずで、検証はパスする。

その先の問い合わせの返答が問題になる。ここで毒が検出できるか。

-- ToshinoriMaeno 2011-06-12 13:55:47