=================================== __ /P▲ ◆ JPNIC News & Views vol.1071【臨時号】2013.3.18 ◆ _/NIC =================================== ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆ News & Views vol.1071 です ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 2013年2月19日から3月1日にかけて、シンガポールにてAPRICOT2013/APNIC35 カンファレンスが開催されました。この会議レポートを、4回に分けて連載に てお届けしています。 本号では第2弾として、技術的な話題について情報交換が行われるAPOPSのレ ポートを、DNS関連の話題を中心にお送りします。 なお、第1弾の全体報告については、以下のURLからバックナンバーをご覧く ださい。 □APRICOT 2013/APNIC 35カンファレンス報告 [第1弾] 全体報告(vol.1069) http://www.nic.ad.jp/ja/mailmagazine/backnumber/2013/vol1069.html また、次号第3弾ではアドレス関連のポリシー動向について、ポリシーSIGで の話題を中心としたレポートを、第4弾ではJPNICが主体となって実施した、 RPKIハッカソンのレポートをお届けする予定です。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ◆ APRICOT 2013/APNIC 35カンファレンス報告 [第2弾] 技術動向報告 JPNIC 技術部 澁谷晃 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 2013年2月19日(火)から3月1日(金)にわたり、APRICOT 2013/APNIC 35がシン ガポールで開催されました。本稿では、技術的な話題をお届けします。 ■ APOPS APOPSは「The Asia Pacific OPeratorS forum」の略称で、環太平洋地域のイ ンターネット運用者を対象とする、情報交換と交流のコミュニティです。 APOPSのPlenaryセッションは、毎回のAPNIC/APRICOTカンファレンスにおいて 開幕直後に設定されていて、年間の動向や注目すべきテクノロジーについて 共有と報告がなされます。 今回のAPOPSは、2013年2月25日(月)、26日(火)の2日間に、APOPS Plenary 1~2の二つのセッションによって構成され、開催されました。 本稿では、APOPSで紹介されたプレゼンテーションのうち、DNS関連のものに ついて詳しくご報告します。 ■ オープンリゾルバに関する話題 Cloudflare社のTom Paseka氏から、"The curse of the Open Recursor (オー プンリゾルバのもたらす災厄について)" という演題で、オープンリゾルバに 関する発表がありました。 オープンリゾルバとは、どのDNSクライアントからの再帰的な名前解決に対し ても応答する状態になっている、キャッシュDNSサーバのことです。Google 社、OpenDNS社、Level3社などの事業者は、特にセキュリティに配慮してその ようなキャッシュDNSサーバをサービスとして公開していますが、インター ネットに存在しているキャッシュDNSサーバには、セキュリティへの対策が不 十分なものが多数あり、DNSリフレクション攻撃と呼ばれる攻撃の踏み台と なってしまう場合がある旨が述べられていました。 Cloudflare社では実際にそのような攻撃を観測しており、詳細について発表 されていました。 DNSリフレクション攻撃は下記の特徴を持っています。 ・UDPを使う ・送信元アドレスは、攻撃対象のホストのものに偽装する (これにより、キャッシュDNSサーバが該当の送信元アドレスに対してパケッ トを返すようになる) ・攻撃者は、ripe.netやisc.orgのanyレコードのように、クエリのパケット サイズは小さいが、応答パケットサイズは大きくなるような名前解決を問 い合わせる (これにより、パケットサイズが増幅されて攻撃対象へ送信される) Cloudflare社の調査により攻撃元を確認したところ、APNIC地域となる56の国 と地域の中からは、27の国と地域から攻撃が行われていました。傾向として は、より人口の多い国と地域から、より多くの攻撃が観測されるようです。 確認されたオープンリゾルバとなっているサーバの数について報告されてい ましたが、1位が日本の4,625となっていました。 オープンリゾルバを利用したDNS攻撃の対策については、下記の方法が紹介さ れていました。 ・アドレスの詐称を防ぐために、BCP 38で規定されるような、送信元アドレ スのフィルタリングを実施する(送信元アドレスがネットワークに割り当て たアドレスのものかどうかを確認し、割り当てたアドレスであればパケッ トを転送し、そうでないものは拒否する)。(*1) ・キャッシュDNSサーバ側で、名前解決を受け付けるDNSクライアントを必要 な範囲に限定する ・権威DNSサーバ側で、再帰的な名前解決を不必要に受け付けないようにす る。 (*1) インターネット用語1分解説「イングレスフィルタリングとは」 http://www.nic.ad.jp/ja/basics/terms/ingress-filtering.html ■ DNSの応答レート制限に関する話題 株式会社インターネットイニシアティブ(IIJ)のRandy Bush氏から、"DNS Rate Limiting(DNSの応答レート制限について)" という演題で、DNSの応答に 一定の制限をかける技術について発表がありました。 発表は、下記の流れに沿って、DNSリフレクション攻撃の実例とその対策につ いて述べられていました。 ・Bush氏の管理しているDNSサーバが、急に外部向けトラフィックを大量に流 すようになった ・DNSサーバ宛のパケットをキャプチャしたところ、DNSリフレクション攻撃 に遭っていることがわかった ・しかし、該当のDNSサーバはキャッシュDNSサーバではなく、ccTLDのゾーン を管理している権威DNSサーバである(いわゆるオープンリゾルバではない) ・攻撃の分析を進めたところ、DNSSEC関連のレコードを利用した攻撃である ことがわかった ・今回は、スイスのccTLDである.chドメイン名のDNSSEC付きレコードの大量 問い合わせがあったが、個々の問い合わせのパケットサイズは小さくとも、 署名の付いた.chドメイン名の応答は1KB以上のサイズに増幅される ・攻撃者は送信元アドレスを詐称したUDPパケットを送信していた ・対処として、DNSサーバのソフトウェアに、同一送信元アドレスからの単位 時間あたりの応答に制限をかけたところ、問題は解消した ・Bush氏のDNSサーバのソフトウェアはBINDであったが、NSDについても対策 のあることを確認した 上記二つの発表はJANOGのメーリングリスト(ML)でも紹介され、日本のオペ レーターの間でも議論が交わされていました([janog:11575]以下参照)(*2)。 (*2) JANOGのMLに参加すれば、アーカイブで過去の投稿記事も読むことが できます。 http://www.janog.gr.jp/ ■ その他のセッション 上記のセッション以外にも、次のようなトピックでさまざまなセッションが 開催されていました。発表のビデオとスライドが公開されていますので、興 味のある方は以下のURLをご参照ください。 ・IPv6関連(Asia Pacific IPv6 Task Forceなど) ・ルーティング関連(Peering Forum, Routing Securityなど) ・SDN関連(Software Defined Networking Panelなど) http://www.apricot2013.net/program/presentations/ ■ 終わりに 私個人としては、海外のミーティングに参加したのは今回のAPRICOT/APNICカ ンファレンスが初めてだったのですが、事前に参加予定の方々とさまざまな 機会を利用してお会いし、お話を聞かせていただくことで、参加のノウハウ などを事前に確認し会場に臨むことができました。現地では初めてお会いし た方も含めて、皆様暖かい雰囲気で親切にしてくださり、関係の方々には感 謝しております。 各セッションでは、トランスクリプトが同時にスクリーンに表示されるもの もあり、英語力の点でも参加のハードルをなるべく低くしようとしている配 慮が伺われました。初めて参加する海外のミーティングとしては、参加しや すい性質のものであったと感じました。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ わからない用語については、【JPNIC用語集】をご参照ください。 http://www.nic.ad.jp/ja/tech/glossary.html ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ┏━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┓ ┃ ◆◇◆◇◆ 本号のご感想をお聞かせください ◆◇◆◇◆ ┃ ┃良かった ┃ ┃→ http://feedback.nic.ad.jp/1071/965b69af6a65954cfc87416371f99a1b┃ ┃ ┃ ┃悪かった ┃ ┃→ http://feedback.nic.ad.jp/1071/4ee92b974bed7d81415817ed72322f73┃ ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛ ___________________________________ ■■■■■ JPNICの活動はJPNIC会員によって支えられています ■■■■■ ::::: 会員リスト ::::: http://www.nic.ad.jp/ja/member/list/ :::: 会員専用サイト :::: http://www.nic.ad.jp/member/ (PASSWORD有) □┓ ━━━ N e w s & V i e w s への会員広告無料掲載実施中 ━━━┏□ ┗┛ お問い合わせは jpnic-news@nic.ad.jp まで ┗┛  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ =================================== JPNIC News & Views vol.1071 【臨時号】 @ 発行 社団法人 日本ネットワークインフォメーションセンター 101-0047 東京都千代田区内神田3-6-2 アーバンネット神田ビル4F @ 問い合わせ先 jpnic-news@nic.ad.jp =================================== ___________________________________ 本メールを転載・複製・再配布・引用される際には http://www.nic.ad.jp/ja/copyright.html をご確認ください  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 登録・削除・変更 http://www.nic.ad.jp/ja/mailmagazine/ バックナンバー http://www.nic.ad.jp/ja/mailmagazine/backnumber/ ___________________________________ ■■■■■ News & ViewsはRSS経由でも配信しています! ■■■■■ ::::: http://www.nic.ad.jp/ja/mailmagazine/backnumber/index.xml :::::  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■◆ @ Japan Network Information Center ■■◆ @ http://www.nic.ad.jp/ ■■ Copyright(C), 2013 Japan Network Information Center