トップ «前の日記(2019-02-07) 最新 次の日記(2019-07-10)» 編集

インターノット崩壊論者の独り言


EPIC2014
Google Public DNS (8.8.8.8, 8.8.4.4) 経由では本サイトにアクセスできないよう措置させて頂いております。

2019-02-18 木で鼻をくくっていない藤原さん

Measures against cache poisoning attacks using IP fragmentation in DNS

2/16 の DNS 温泉番外編に参加された皆さま、聴講、意見交換ありがとうございました。さてこのイベントの前日 2/15 にJPRS の藤原さんが書かれた Internet Draft draft-fujiwara-dnsop-fragment-attack-00 Measures against cache poisoning attacks using IP fragmentation in DNS が公開されました。これによれば EDNS0 のサイズを 1220 としてそれ以上のサイズは TCP にフォールバックするとしたうえで 、(この値では通常フラグメントは起きないものと仮定し) フラグメントパケットは破棄するというプロポーザルです。

個人とはいえ JPRS の肩書きではこれが限界 (512 とは言えない) なのでしょう。JPRS さんは組織として木で鼻をくくったような回答していないで、公式に注意喚起して欲しいところです。(私が主張する 512 バイトでなくとも、1220 以下のフラグメントを見捨てるということであればこのプロポーザルでもよいのではないでしょうか。) それとも「それは俺たちの仕事ではない」ということなのでしょうかね。あと去年の総務省らの注意喚起は無視でいいと思います。

土曜の DNS 温泉番外編では JP ゾーンのキャッシュへの毒入れが想像以上に容易であることのデモを見て頂くことができたかと思います。参加者の皆さんは注意喚起は必要だと思われたことでしょう。

以下、 draft-fujiwara-dnsop-fragment-attack-00 Measures against cache poisoning attacks using IP fragmentation 抜粋

4.  Proposal
 
   To avoid cache poisoning attacks using IP fragmentation by full-
   service resolvers,
 
   o  Full-service resolvers set EDNS0 requestor's UDP payload size to
      1220.  (minimal size defined by [RFC4035])
 
   o  Full-service resolvers drop fragmented UDP responses related to
      DNS.
 
   o  Full-service resolvers may retry name resolution by TCP.
(追記: 01 が出ています。差分はこちら)

本日のツッコミ(全1件) [ツッコミを入れる]
tm (2019-02-21 13:21)

まだ、JPRSからの警告はでませんね。fujiwaraのI-Dを知らないはずはないので、日本語での警告はするつもりはないのかと推測します。<br><br>2019-02-21


最近の日記

2008|04|05|06|07|08|10|11|
2009|02|03|04|06|07|09|10|11|
2010|01|03|06|09|10|11|12|
2011|01|02|03|05|06|07|10|11|
2012|03|06|07|10|11|12|
2013|02|03|04|05|06|08|09|10|11|
2014|01|03|04|05|06|07|08|09|10|11|12|
2015|01|02|03|04|07|08|09|10|11|12|
2016|01|06|08|12|
2017|03|07|08|09|12|
2018|04|08|10|11|
2019|01|02|07|11|12|
2020|01|02|03|05|06|07|08|
2021|02|03|09|12|
2022|02|03|05|06|
2024|02|

リンク

Copyright by T.Suzuki