"複数の"DNS実装におけるサービス不能(DoS)脆弱性について(2014年12月) - JPNIC
2014年12月8日(現地時間)、 複数のDNSサーバソフトウェアの実装においてサービス不能(DoS)を引き起こす可能性のある脆弱性が、 各ベンダーからアナウンスされました。 本脆弱性は、DNSキャッシュサーバが、 名前解決時の委任を処理する際に細工されたゾーンの委任情報を受け取ることで、 CPUやネットワーク資源を大量に消費してサービス性能の低下もしくはサービス停止となるものです。 ご参考までに、アナウンスの原文へのリンクを以下に掲載します。 管理者の皆様におかれましては、 ネームサーバソフトウェアのご確認など適切な処置をお願いいたします。 記 脆弱性の概要 DNSはドメインの情報を複数のゾーンに分割し、 委任と呼ばれる方法でゾーンとゾーンを連携させています。 キャッシュサーバは名前解決を行うときに、 その委任をたどることでドメイン名の情報を得ます。 この委任の処理において、 権威サーバ
キャッシュポイズニング攻撃対策
Copyright © 2014 株式会社日本レジストリサービス 1 キャッシュポイズニング攻撃対策: キャッシュDNSサーバー運用者向け―基本対策編 初版作成:2014年4月30日 最終更新:2014年4月30日 株式会社日本レジストリサービス(JPRS) 本資料の位置づけ • 本資料は以下の四部構成の資料の一部 – 対象者ごとに、キャッシュDNSサーバー運用者向けと 権威DNSサーバー運用者向けに大別 – それぞれを、基本対策編と応用対策編の二部で構成 Copyright © 2014 株式会社日本レジストリサービス 2 基本対策編(本資料) 応用対策編 基本対策編 応用対策編 キャッシュDNSサーバー運用者向け 権威DNSサーバー運用者向け 本資料の内容(基本対策編) • 本資料ではキャッシュDNSサーバー運用者向け の基本対策編として、以下の項目について解説 – おさらい(1):キ
ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2013-3919) に関する注意喚起
各位 JPCERT-AT-2013-0026 JPCERT/CC 2013-06-05 <<< JPCERT/CC Alert 2013-06-05 >>> ISC BIND 9 サービス運用妨害の脆弱性 (CVE-2013-3919) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130026.html I. 概要 ISC BIND 9 には、サービス運用妨害 (DoS) の原因となる脆弱性があり、不 適切に設定されたゾーンの特定のリソースレコードに対する問い合わせを受け ることにより、named においてエラーが発生し、異常終了する可能性がありま す。 ISC 社の情報によると、本脆弱性に対する攻撃は確認されていませんが、対 象となる製品を利用している場合は、「III. 対策」を参考に最新バージョン への更新を検討してください。 Interne
キャッシュ兼用権威DNSサーバの害
キャッシュサーバを権威サーバと兼用すると危ない ~ 分離してキャッシュサーバはアクセス制限しましょう ~ 兼用していると、、、 毒を入れられやすい 理由: 存在が公開されているので狙われやすい/往々にしてオープンリゾルバである(オープンでなくとも毒いれする方法はある)。 さらに、誰でも任意のゾーンが登録できるという恐ろしいサービスをしていると毒は入れ放題である。(そういうサービスは実在する) ...参考 DDoS(DNS amplification attack)の踏み台になりやすい 理由: 存在が公開されているので狙われやすい/往々にしてオープンリゾルバである。 アクセス制限をしづらい/忘れる/失敗する 理由: 権威サーバは世界に公開しないといけないので、ファイアウォールで守るのが困難。BINDだと仕様がよく変わり、ある日から中途半端なアクセス制限のような状態になったりする。 キャッシュ
Test for Open Resolvers
This tool sends a single "recursion desired" query to one or more target addresses. If the queries are forwarded to our authoritative server, the host has an open resolver running at that address. Enter up to 10 IPv4 Addresses: Alternatively...You can List all the open resolvers on your network. You may also query our DNS-based list at dnsbl.openresolvers.org.
インターネット10分講座:DNSSEC - JPNIC
今回の10分講座は、各TLDが対応を表明するなど導入の機運が高まりつつある、DNSSECについて解説します。 1. DNSSECの予備知識 1.1 DNSの仕組み まずはじめに、DNSではエンドユーザーのPCなど、DNSを利用するクライアントがどのようにドメイン名の情報を得るのか、その流れについて簡単に説明します(図1)。 図1:DNS 問い合わせ (1)クライアントから、所定のネームサーバに対し、問い合わせを依頼します。具体的には、ドメイン名に関する情報はリソースレコードという形式で管理されているので、www.nic.ad.jpというドメイン名のIPアドレスを知りたい場合にはwww.nic.ad.jpのAレコード(IPアドレスを格納するリソースレコード)を問い合わせます。 (2)依頼を受けたネームサーバは、問い合わせ内容を元に、ルートサーバ※1から委任をたどりながら順に問い合わせを行い、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ISC Webinars | Internet Systems Consortium Knowledge Base