[epnetfan 座学編]
[Internet Week 2005 報告会]
[DNS Day 報告]
EPNetFan 2005 年度 座学編 第 XX 回 資料
Internet Week 2005 報告
2005/12/06 小高正嗣
- 汎用 JP ドメインの利用が着実に伸びている
- 日本語ドメインも増えつつある.
- a.dns.jp (ルートサーバ)への問い合わせ数はゆるやかに増加(2005年)
- c.dns.jp の運用終了
- 2005/03 運用終了アナウンス
- 2005/05/10 完全に停止
- [a-f].dns.jp 体制から [abde].dnc.jp 体制へ移行
- 概要
- example.jp の NS に ns.example.co.jp を指定
- ns.example.co.jp を破棄
- 第 3 者が example.co.jp を取得, ns.example.co.jp を NS として立ち上げ
- ns.example.co.jp が example.jp を制御できてしまう...
- 対策
- 目的
- 安定稼働の指標
- サービス導入/変更の効果分析
- BIND の不具合をつかむ
- 結果 (a.dns.jp)
- 8/15 に [大阪 1] に問い合わせが集中
- [大阪 2] にはない
- 午前 4 時に問い合わせのピーク
- 3 年くらい前から
- 1 つの IP が送信元の場合もある
- 逆引きが多い, 再帰検索(root サーバからはじまる問い合わせ)
- root DNS サーバ
- Anycast の実装
- 日本の root サーバ
- root サーバの今後
- 送信ドメイン認証
- 所有するドメインが詐称されることを防ぐ
- 詐称されたドメインへアクセスすることを防ぐ
- 具体的な技術
- SPF (Sender Policy Framework)
- Sender ID
- Domainkeys, DKIM
- 普及率
- 方法 (SPF)
- まとめ
- 設定を間違うと正当なサーバからのメール受信を拒否してしまう
- 自己防衛のためには必要かもしれない
- なにもしないと spammer ドメインとして認識されてしまう恐れがある
- DNS Lame: DNS が正常に動作していない状態を指す
- JPNIC による DNS Lame チェック
- APNIC 基準の Lame なゾーンは全体の 14%
- DNSQC 基準の Lame なゾーンは全体の 20%
- ドメイン名管理者の仕事
- 自分のドメインぞーん情報を提供する DNS サーバの運用(下位へのサービス)
- その DNS サーバ情報のレジストリへの設定(上位へのサービス)
- 上位と下位の整合性を維持
- これらが一つでも欠けると適切なドメイン名管理がなされない
- ドメイン乗っ取りの可能性がでてくる.
- ドメイン名の乗っ取りはなぜ起こるか?
- 例) 有効期限切れた DNS サーバを放置しておくと, 第 3 者に同名の
DNS サーバを立ち上げられ, 詐称されてしまう.
- ドメイン名登録管理者と DNS 運用管理者間との連係がとれていないと
起こる可能性がある.
- ドメイン名の乗っ取られると何が起こるか?
- 名前解決の遅延
- 正しい名前解決をしない
- あるはずのドメインへアクセスできない
- 偽サイトへのアクセスを誘導される
- 実際の事例
- JP ドメインの対応
- 注意喚起メールをドメイン名登録者に送付 (2005/08, 09, 10)
- 存在しない JP ドメイン名の DNS サーバへの委任を削除
- JP ドメイン名の規則を改訂 (2006/01/10)
- Lame Delegation
- Lame Delegation 問題点
- ユーザ側
- 名前解決ができない
- 名前解決に時間がかかる
- 誤った名前解決をされる
- ネットワーク全体
- 逆引きと正引きの違い
- JPCERT から
- OCN の Lame な DNS の現状
- OCN で総問い合わせの 3-4% が Lame
- 逆引きに多い
- C クラス (/25) 未満の権限委譲がうまくいっていないらしい
- 技巧をこらした委譲方法が多い
- そもそも真面目に設定していない?(逆引きだからまいっか)
- ドメイン名の更新を忘れると…
- 一定の冷却期間をおいて他人のものになる
- 元のドメイン名が著名であればあるほど, 悪用される傾向にある
- 事例1)
- 某政治家の古い個人ページの URI が海外ポルノサイトの URI として使われた
- 事例2)
- あるフリーソフトウェアのドメイン名の更新を忘れた. そのドメイン名が
高額で売りに出されてしまい, 結局サイトのドメイン名を変更した
- 忘れないためには
- Whois を定期的に確認する
- 決裁方法を事前に把握する
- 会場からのコメント
- Whois の問題
- whois で登録者の住所や TEL 番号などが晒されているのは問題.
実際に使われる可能性のない情報はそもそも公開するべきではない
のではないか?
[epnetfan 座学編]
[Internet Week 2005 報告会]
[Security Day 報告]
2005/12/06 小高正嗣, Copyright 2005 EPNetFan