株式会社日本レジストリサービス 広報宣伝室 技術広報担当 森下 泰宏
http://森下泰宏.jp/

株式会社日本レジストリサービス システム部 堀 五月

伝統的なDNSプロトコルでは、 UDPで取り扱い可能なメッセージサイズ(UDPメッセージサイズ)を512バイト以下に制限しています。 この制限は1999年に標準化されたEDNS0(RFC 2671)で拡張・緩和され、 2005年に標準化されたDNSSEC(RFC 4033-4035)では「EDNS0によって少なくとも1220バイトをサポートしなければならず、 4000バイトをサポートすべき」と定められています。

DNSでは主な通信プロトコルとしてUDPを採用することで、 応答速度の向上や名前解決にかかるコスト・負荷の軽減を図っています。 また、ルートサーバーなどに導入されているIP Anycastは、 主な通信プロトコルがUDPであることが導入の前提条件となっています。

しかし、 UDPは送信元を詐称したパケットによる攻撃が比較的容易であり、 近年それを悪用した「DNSリフレクター攻撃(DNS Amp攻撃)」の増加が、 大きな問題となってきています。 この背景の一つとして、 EDNS0の普及による取り扱い可能なUDPメッセージサイズの増大が挙げられています。

また、 UDPメッセージサイズの増大はIPフラグメンテーションの発生につながります。 IPフラグメンテーションはパフォーマンス上・セキュリティ上の観点において有害(harmful)であると以前から指摘されており、 特に最近のIETFで議論されているIPv6におけるIPフラグメンテーションの廃止への対応や、 最近発表されたDNSに対する新たな攻撃手法である「第一フラグメント便乗攻撃(1st-fragment piggybacking attacks)」への対策などから、 DNSのUDPメッセージサイズの最大値を、 IPフラグメンテーションが発生しない程度に縮小すべきなのではないかという提案・議論も行われています。

今年のランチセミナーでは「DNSのメッセージサイズについて考える」と題し、 DNSのUDPメッセージサイズが512バイト以下に制限された理由、 DNSのメッセージサイズに関する標準化や検討の歴史などについて振り返るとともに、 最近の検討状況や今後の展望などについて解説します。

• インターネット技術者、特に実際にDNSサーバーを管理運用されている方歓迎