最近話題の毒入れ方法とか
少し前に出てたDNSのキャッシュポイズニングの脆弱性が予定よりも早くリーク(?)したようで。
で、ちょっと適当に軽く注意喚起文書とか読んでみた。
JPRSの文書(これとその続報)にも書いてあったけど、攻撃方法自体はおそらく
JANOG19 JPRS 民田発表資料 これでいいのかTTL - 短いDNS TTLのリスクを考える(PDF ファイル)
この攻撃方法にある程度近そうな感じなのかな?
で、問い合わせIDは16ビットしかないから、とりあえず汚染されにくいようにクエリポートをランダムにするようにした、ということなんだろうか?
・・・まぁ、ある程度無難な逃げの一手ではあるとは思う。
少し話は変わるが、前々から気になっていた(自分の研究内容とも少し被る)こと。
これだけ脆弱性がボロボロと出てくるようなDNSの仕様であるにも関わらず、これを根底から変えよう、とかいう動きはないのかねぇ。
DNSSECもある程度はいい方法だとは思うけど、問題は未だに山積みだし、これもある種逃げの一手でしかないんだし。
そもそもあまりにも根付きすぎていてもう変えること自体無理なんだろうか。
で、ちょっと適当に軽く注意喚起文書とか読んでみた。
JPRSの文書(これとその続報)にも書いてあったけど、攻撃方法自体はおそらく
JANOG19 JPRS 民田発表資料 これでいいのかTTL - 短いDNS TTLのリスクを考える(PDF ファイル)
この攻撃方法にある程度近そうな感じなのかな?
で、問い合わせIDは16ビットしかないから、とりあえず汚染されにくいようにクエリポートをランダムにするようにした、ということなんだろうか?
・・・まぁ、ある程度無難な逃げの一手ではあるとは思う。
少し話は変わるが、前々から気になっていた(自分の研究内容とも少し被る)こと。
これだけ脆弱性がボロボロと出てくるようなDNSの仕様であるにも関わらず、これを根底から変えよう、とかいう動きはないのかねぇ。
DNSSECもある程度はいい方法だとは思うけど、問題は未だに山積みだし、これもある種逃げの一手でしかないんだし。
そもそもあまりにも根付きすぎていてもう変えること自体無理なんだろうか。
コメント
コメントの投稿
トラックバック
http://wk6.23.dtiblog.com/tb.php/50-53fa1ca5
