メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

ニュースレターNo.35/2007年3月発行

DNS DAY ~DNSにおけるセキュリティ再考~

今年のDNS DAYは、Internet Week 2006の2日目、12月6日(水)に開催され、DNSサーバ管理者およびDNS関連技術者など多数の方々にご参加いただきました。

今年のプログラムは、前半は「DNS updates」と題してJP DNSサーバ、root DNSサーバの運用レポート、そしてDNSの最新動向をご紹介し、後半では「DNSにおけるセキュリティ再考」と題してDNSの安全性について改めて見直すべきポイントについてご紹介しました。

DNS DAYで使用した資料類は、以下のWebページで公開しております。ご興味のある方はこちらもあわせてぜひご覧ください。
http://www.nic.ad.jp/ja/materials/iw/2006/main/dnsday/

以下では、活発な議論や意見交換が行われたDNS DAYの模様についてレポートします。

プログラムの一つ目「DNS updates」では、初めに(株)日本レジストリサービス(JPRS)の白井出氏からJP DNSの運用レポートがありました。今年の大きな出来事としてJP DNSの更新間隔の短縮があり、それにともない全てのJP DNSサーバのBIND9化とJPゾーンの統合が行われたことが紹介されました。続いてWIDE Project/東京大学の関谷勇司氏からroot DNSサーバに関するトピックの紹介がありました。root DNSへのAAAAレコードの追加にあたっての進捗や、DNSSECの実現に向けての課題などの解説が行われた後、インドネシア・中国・フィリピンから各root DNSサーバへのレスポンスタイムの計測結果について紹介され、トポロジー的なroot DNSサーバの配置についての考察が行われました。

二つ目の「DNS最新トピック」ではNTTコミュニケーションズ(株)の吉村知夏氏からAS112についての解説と運用状況についてのレポートがありました。dynamic updateの登録要求時にホスト名が漏洩する問題に触れ、プライベートアドレスの逆引きをネットワーク内で解決するよう正しく設定すべきという指摘がなされました。筆者である私からは逆引きゾーンのlame delegationに関するレポートを行い、JPNICの管理するIPアドレスレンジに関しての逆引きゾーンのlame delegationを改善する取り組みについて説明しました。JPRSの宇井隆晴氏からは、DNSの政策動向としてICANNやIETFの解説、新TLDやDNSSECなどのドメイン名分野におけるトピックの紹介がありました。最後にJPNICの川端宏生からは、IPアドレスの政策動向としてポリシー策定の流れや逆引きDNSの委任についての解説が行われました。

後半セッションの「DNSにおけるセキュリティ再考」では、コンテンツデータ肥大化の問題とその対応についてと、今年顕在化したDNS reflector attack(DNS amplification attack)とcache poisoningについての解説がありました。(株)インターネット総合研究所の伊藤高一氏と住商情報システム(株)の森拓也氏からは、DNSラウンドロビン、DNSSEC、DomainKeysなどでDNSパケットの大きさが512オクテットを超えた場合、TCPへのフォールバックやEDNS0で名前解決が行われること、またそれぞれの挙動の詳細やEDNS0の実装状況についての解説がありました。512オクテットを超えるDNSパケットを考慮し、TCPでの問い合わせにはなるべく応答すること、TCPよりも負荷を軽減できるEDNS0を利用可能にすることが推奨事項として挙げられました。

(株)インターネットイニシアティブの松崎吉伸氏からはDNS amplification attacksの攻撃手法とその防ぎ方について説明がありました。DNS amplification attacksの主要な攻撃要素としてIPアドレス詐称とDNS増幅があり、その対策としてsource address validationと問い合わせに応答するサービス提供範囲を限定することが必要であるという説明がありました。JPRSの民田雅人氏からは、リソースレコードのTTLを短くすることによるcache poisoningの危険性の説明がありました。UDPが主に用いられるDNSでは、送信元のアドレス詐称と16ビット長のIDを推測することで偽のデータを送り込むことが可能であることは以前から知られていましたが、その可能性が意外に高く、TTLが短ければ短いほど攻撃が容易になることが指摘されました。解決のためにはTTLを長くすること、コンテンツサーバの数を増やすこと、IngressFilterの導入、DNSSECの導入が必要であるといった解説がありました。

参加者の皆様からは、最新のDNS技術動向について知ることができた、今後もDNSに関するイベントや討論の場が欲しいという要望など、多数のご意見をいただきました。JPNICでは、いただいたご意見を元に検討を重ねて参ります。どうもありがとうございました。

(JPNIC 技術部 小山祐司)

このページを評価してください

このWebページは役に立ちましたか?
よろしければ回答の理由をご記入ください

それ以外にも、ページの改良点等がございましたら自由にご記入ください。

回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2024 Japan Network Information Center. All Rights Reserved.