[connect24h:3295] Re: 個人運用の DNS にセカンダリは必要ない

[SAKIYAMA Nobuo <sakichan@xxxxxxxxxxxx>]

At Mon, 11 Mar 2002 01:46:40 +0900 (JST),
kobayasi@xxxxxxxxxxxxxxxxxxxx wrote:
> In message <vtr7koke8a5.wl@xxxxxxxxxxxxxxxxxxx>
> sakichan@xxxxxxxxxxxx wrote:
>  >4. 途中でひけなくなる。再送を繰り返してもダメなので
>  > ダメだったとクライアントプログラムに返す
>  >
>  >となりますね。まず、4 で通常よりちょっとだけ多い負荷が発生してしまいます。
> 
> レゾルバって「再送を繰り返し」ましたっけ? 自分でも知らべてみるつもりですが
> RFC等で関連する記述を御存知でしたら教えていただけないでしょうか。

うーん、UDP だから、パケット落ちたらそれまでよ、というと信頼性がないの
で、再送を自分でやるはずですよね。ということで bind8 系だと、

lib/resolv/res_send.c の res_nsend() 関数のなかで
        /*
         * Send request, RETRY times, or until successful.
         */
        for (try = 0; try < statp->retry; try++) {
            for (ns = 0; ns < statp->nscount; ns++) {

って感じにはじまるブロックがありますね。

> DNSを乗っ取る一番ありがちな手口は、DNSサーバそのものを(バッファオーバー
> フロー等で)乗っ取るというものでしょうから、DNSサーバが全部落ちている状況
> ではむしろ難しくなるのではないでしょうか。
> 
> 逆にプライマリが死んでセカンダリだけが生きている状況では、セカンダリが
> ゾーン転送を要求するタイミングでIP spoofingをしかけて改竄されたゾーン情報
> を送り込むという手が使えてしまうような気がします。

いやぁ、そんなんじゃなくても。

例えばあるドメインのDNSサーバが完全に落ちてるとして、 だましたいネーム
サーバ(これは対象のドメインのauthorizedとは別)に IP spoofing で改竄し
た response をつっこむ、なんてのどうです？authorizedなDNSサーバが完全
に落ちてると、正しい答をつっこまれる心配をせずに 作業できそうな気がし
ます。

ただ、私はそれがどれだけ可能性があるのか定量的に評価する知識も(ある種
の)スキルもないので、詳しいひとを召喚してみたいなぁ、と。
-- 
SAKIYAMA Nobuo (崎山 伸夫)  sakichan@xxxxxxxxxxxx

--[PR]------------------------------------------------------------------
とっても便利♪♪ MyPage もう使ってる？
使ってない人は今すぐ登録→ http://www.freeml.com/ctrl/html/UserRegForm
　
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp