On the Time Value of Security Features in DNS という Paul Vixie 氏の記事が Circleid に出ていましたので、とりあえずその RRL の節をざっと訳してみました。
DNS Response Rate Limiting (RRL) は Kaminsky型の DNS キャッシュポイズニングへの対処としての UDP Source Port Randomization (SPR) に影響することが観測されているってのは確かだ。 RRL が応答をドロップすることで、解決すべき問いにできるだけ合うように工作された応答で攻撃者が問い合わせ元を連続攻撃し続けられる時間枠が延びてしまうってことが起きるのだ。RRL なしだと 30ミリ秒程度の DNS 問い合わせの有効時間を、単に RRL を適用するってだけで、30秒くらいまで延ばすことができる。 この1000倍までもの時間延長は大数の法則によってその分の攻撃成功率を生み出す。 RRL の考案者は同意していないが、デフォルトの RRL "slip" 値を 2 ではなく 1 にするという解決策が提案されている。この slip 値を 1 とする設定では応答をドロップすることはなくなり、Slipフレーム(TC ビット=1 の応答) で問い合わせ元に TCP によるリトライを求めるようになる。
この提案は問題の解決より多くの問題を引き起こすしそんな提案は実際不要なのだ。 なぜならそもそもの問題は概ね無視していい。そのことを以下に詳しく述べる。
(以下、Vixie 氏の論)
以降はざっとしか読んでいないのですが、Paul Vixie 氏は RRL による毒入れの危険性の問題はほぼ無視して良いと言っているようですね。
この件は、DNSSEC Spring Forum 2013 で私が懸念を示したことと同じ事象に関する議論のようです。RRL によって本物の権威サーバが応答しなければ、毒入れが容易になるだろうというのは誰でもすぐに考えることだと思います。実際、私も実験しましたが毒入れ成功の確率は確かに高くなりました。
ただし、Kaminsky型の毒入れにおいて QNAME を変更するタイミングを RTT に合わせてチューニングできる有能な攻撃者にとっては RRL されていようがいまいが大差は無いと思います。Vixie の論もそんな感じですかね。
しかし、世の中、有能な攻撃者ばかりではありません。雑な攻撃で毒が入りやすいってのはやはりどうかと思いますね。一方で、SLIP=1 にして、全部 TCP になるとなると、毒入れ攻撃が DoS 攻撃になりかねないということも考慮する必要があるでしょう。
「オープンリゾルバ根絶に向けての取り組み」という文書が出ています。
「なぜ今までそんなことをやっていたんだ」と批判されることを覚悟の上でのカッコワルイ話です。と冒頭にあって、著者のブログ「どさにっき」に
作文の冒頭に「批判されることを覚悟の上」と書いたんだけど、実際にはそういう批判が思いのほか少なかったことにも驚き。と書かれていたので、せっかくなので批判しておきます。
「なぜ今までそんなことをやっていたんだ」じゃなくて「なぜ今までそれを放置していたんだ」でしょ? 最近まで放置していたという問題を、大昔はそういう時代だったという話にすり替えちゃいけません。ISP の方々も「インターネット」と呼ばれているものが何なのか、総括してみてはどうでしょうかね。「インターネット」という幻想こそ歴史的経緯ですよ。
それと、DNS amp に使われるからまずいの? それだけなら権威サーバの存在もまずいでしょ? DNSSEC やらなんやらでどんどん応答を肥大させているのは問題にしないの?
上記「オープンリゾルバ根絶に向けての取り組み」の記事からリンクされている「てくろぐ」の"「昔IIJを使っていた人」にお願いです"という記事に以下の記述があります。
IIJは「最新の技術」も追いかけていますが、それと同時にこのような古くて現在では適切ではない設備についても対応をおろそかにしてはいけないと、襟を正しています。今回のオープンリゾルバだけでなく、他にも残っている問題がありますので、そういったものについても順次対応を行っていきたいと考えています。
「他にも残っている問題」とは何でしょうね。どこかにリストアップしてもらえるとうれしいですね。また、最新の技術を追うあまり「いま生み出そうとしている問題」も真摯な再評価をお願いしたいですね。このブログでも色々取り上げている問題がありますからよろしくお願いしたいと思います。「インターネット・イニシアティブ・ジャパン」さんとしては自社だけでなく業界全体の健全化を率いて欲しいですね。
そもそも、「古くて現在では適切ではない」のは設備ではなくインターネットプロトコル自体と ISP の一部の方々の「インターネット」に対する認識でしょう。
Copyright by T.Suzuki
■ tss [Google Public DNS と同程度の amp 対策を施しますというところはないのかな?]
■ tm [書いてくれて、ありがとう。(tweetではまともに残らないからね) 「根絶」だなんてほんとあきれる。 「Goog..]