2/16 の DNS 温泉番外編に参加された皆さま、聴講、意見交換ありがとうございました。さてこのイベントの前日 2/15 にJPRS の藤原さんが書かれた Internet Draft draft-fujiwara-dnsop-fragment-attack-00 Measures against cache poisoning attacks using IP fragmentation in DNS が公開されました。これによれば EDNS0 のサイズを 1220 としてそれ以上のサイズは TCP にフォールバックするとしたうえで 、(この値では通常フラグメントは起きないものと仮定し) フラグメントパケットは破棄するというプロポーザルです。
個人とはいえ JPRS の肩書きではこれが限界 (512 とは言えない) なのでしょう。JPRS さんは組織として木で鼻をくくったような回答していないで、公式に注意喚起して欲しいところです。(私が主張する 512 バイトでなくとも、1220 以下のフラグメントを見捨てるということであればこのプロポーザルでもよいのではないでしょうか。) それとも「それは俺たちの仕事ではない」ということなのでしょうかね。あと去年の総務省らの注意喚起は無視でいいと思います。
土曜の DNS 温泉番外編では JP ゾーンのキャッシュへの毒入れが想像以上に容易であることのデモを見て頂くことができたかと思います。参加者の皆さんは注意喚起は必要だと思われたことでしょう。
以下、 draft-fujiwara-dnsop-fragment-attack-00 Measures against cache poisoning attacks using IP fragmentation 抜粋
4. Proposal To avoid cache poisoning attacks using IP fragmentation by full- service resolvers, o Full-service resolvers set EDNS0 requestor's UDP payload size to 1220. (minimal size defined by [RFC4035]) o Full-service resolvers drop fragmented UDP responses related to DNS. o Full-service resolvers may retry name resolution by TCP.(追記: 01 が出ています。差分はこちら)
Copyright by T.Suzuki
まだ、JPRSからの警告はでませんね。fujiwaraのI-Dを知らないはずはないので、日本語での警告はするつもりはないのかと推測します。<br><br>2019-02-21