2. SDNを用いた反射型DoS攻撃の防御策 / NTT 首藤さん - 反射型DoS攻撃 - 基本アイディア : 宅配ピザ攻撃 - botに指示 -> 標的に大量のパケット - 概要 - SDN を用いて転送ルールを動的に変更 -> 他ASとの境界ルータで攻撃パケットのみを遮断 -> 収容ルータ・末端回線が保護される - SDN でできること - コントローラでフローテーブルを一元管理 - L1~L4 レベルでいつでも転送ルールを変更可能 - ルールにマッチしたトラフィックの統計情報を取得可能 - 対策詳細 - 通常モード - DNS応答トラフィックを監視 -> 閾値を超えたら防御モードへ - 防御モード - DNS応答パケットは原則遮断 - 標的システムからのDNS要求は制御サーバへ飛ばす例外設定、その応答のみ許可 - まとめ - 長所 - 全ての攻撃パケットを境界ルータで遮断 - 正常なパケットは落とされない - 平常時は監視のみ - DoS緩和装置など特別な機器は不要 - 課題 : フラグメントパケットへの対処 - 攻撃パケットは往々にしてフラグメント化 - UDPヘッダがないのでDNS応答か判断できない - いくつか対策考案済み - QA - ISP規模としてどのくらいのフローエントリを想定?(BBT 加藤さん) - 基本的に防御モードに移行しても、対象はそのとき攻撃を受けているターゲットのみ あるタイミングにおいてはひとつのIPのみに防御モードが適用されるので 適用されるフローエントリは数十・数百程度ではないかと想定している - パテントをとるなどされている?(JPRS 米谷さん) - している、結果はまだわからない 3. 逆引きshellshock考察 / 山口さん - REMOTE_HOST で逆引きに攻撃コードを入れられる? - RFC2181「長さ以外の制限はない」 - 権威 - BIND : オプションでエラー回避すれば入る - NSD : チェック無し - キャッシュもそのまま返す(BIND/Unbound) - リゾルバの実装 - dn_expand(3)のなかでエスケープ処理している - libc (libresolv) は守ってくれた - 他は不明 - OSX - 他のUNIX系OSと同様dn_expandでつぶしている - getnameinfo, gethostbyaddr は res_*** dn_*** など使っていない - OpenBSD - dn_expand でサニタイズされないが getnameinfo/gethostbyaddrなどで厳密にチェック - ためしてみた - CGI - apache (OSX) で成功 - tcsh - 環境変数HOSTから注入できた - tcpserver - 影響なし - tcp-env OpenBSDで成功 - couriertcpd - OSX / OpenBSD以外でも注入できる - ただしparanoidチェックが必要 - IDENT - couriertcpd がやばかった - shellshock だけじゃない - JavaScript や SQL インジェクションなどもありえる - まとめ - たいていのOSならlibcでセーフ - OSX / OpenBSD は関数により影響あり - 名前解決を libc にたよってないアプリも注意 - IDENT も注意 - shellshock 以外も注意 - QA - getdns は?(JPRS 米谷さん) - 試していない 4. BIND9のランダムクエリ対策機能 / QTNet 末松さん - キャッシュDNSでの対策例 - 偽応答, iptables, IP53B, ホームルータの改修? -> BIND9 単体でできない? - BIND9(サブスクリプション版)には対策あり (9.9.6-EXP-1 を基に発表) - fetches-per-zone - 全体ではなくドメインあたりの再帰問い合わせの数を制限 - fetches-per-server - 権威DNSのIPあたりの再帰問い合わせ数を制限 - さらにタイムアウト割合からその権威サーバについて good / bad を判定 -> bad のものについて制限がかかる - fetches-per-server 300 / fetch-quota-params 100 0.1 0.3 0.7 - good / bad 判定などパラメータを設定可能 - 実際いれてみると再帰問い合わせ数がなだらかに減少、一気には落ちない - まとめ - 機能の詳細の調査確認が必要 - 設定パラメータの検討 - 評価検証内容の詳細検討 - ヨーロッパのあるISPで有用だという結果が得られているとのこと - デモ - QA - 9.11 には入るようなことをISCの方が言っていた(JPRS 藤原さん) - それをpublicにするかはまだ決まっていないよう - この閾値は同時接続数と思って良い?(IIJ 其田さん) - 検証が進んでいなくてまだなんとも - outbound をhashlimit でやるとつらいので同時接続数でできると良い(其田さん) - named.conf 見せられる?(JPRS 森下さん) - つらい - キャッシュ->権威は「非再帰」問い合わせ (森下さん) - ゾーンごとにカウント、とあったがレベルが違うと思うが誤検知しない?(NTTCom 高田さん) - おっしゃる通り、この機能だけだとホワイト・ブラックリストがなさそうなので怖い ブラック・ホワイトリスト無いか聞いたらまだ答えはないが、考えていると営業の方が漏らしていた - サーバごとに制限となると、たくさんのゾーンをもっている権威サーバだとつらいのでは(高田さん) - 私もそれを思っている。誤爆を避ける仕組みが要るかな - そして複雑になって7月に…(高田さん) - 費用対効果で見合うと判断されたなら共有してほしい(NRI 中島さん) - 試しただけで買ってはいない。台数あたりのライセンスはもらってるがめちゃくちゃ高くはない - サブスクリプションコードを使うと100万円の二段階上のものを使う必要がある(森下さん) 5. ランダムサブドメインアタックへの対策例について / SCSK 服部さん - Nominum 社製 Vantio での動作を紹介 - 再帰問い合わせの同時要求数が上限に達した場合 - Vantio なら一番時間がかかっているものを捨ててservfailを返し、新しいクエリを受けつける - 権威サーバから多量のtruncateもらった場合 - Vantio なら一度に開くファイルディスクリプタを制限 - 権威サーバへのレートリミット - Vantio なら権威サーバのIPとドメインのペアでサクセスレートを計測、レートリミットする - 8,000~10,000 qps で3秒投げたとき、Vantio から権威サーバへは 100~300qps となった - ネガティブキャッシュ - 到達不能な権威サーバ - 8秒キャッシュ - servfailを返す権威サーバ - 30秒キャッシュ 6. DNSの統計調査結果の紹介(仮)、DNS-OARC2014,ICANN51,IETF91の話題 / JPRS 藤原さん - 統計調査結果 (2014 Root DITL Data analysis and TLD popularity analysis として発表した) - 8 つのroot dns で計測 - root の DNSKEY を聞くIP が 14,000 (2011) -> 520,000 (2014) - 48 時間で6億クエリおくってくるホストもあった (3,786qps) - みんなクエリ送りすぎ - TLD popularity - 各TLDに問い合わせのあるIP数でランキング - 順に com net org uk info arpa de cn ru fr - ちなみにクエリ数で見ると順に com net local home org cn arpa internal local domain localhost - 4月のデータなので新gTLDはなし - root にクエリを送ったIP数 国別ランキング - cn us de fr gb ru br jp it ca - jpをソースとするアドレスにしぼるとTLD別IP数ランキングでjpは3位に - その他各国でしぼるとその国のccTLD が上位に - DNS-OARC2014, ICANN51, IETF91 の話題 - OARC+ICANN - Open DNS Proxy からの贈り物 - 1800万のユニーククエリ - 香港の熱血時報が13時間オフライン - bind 9.11 で対策いれよう - .fr (.wk) への攻撃 - GPDNS を使ってランダムサブドメインやったらTLDもつらい 10万qps が14時間持続 -> 最終的にはgoogle にフィルタしてもらった - DNSソフトウェア実装者のパネル - .cz / .eu は Knot DNS / YADIFA を実装 - NLNet Labs : 資金調達の困難さを紹介 - “ビア樽は無限じゃない!” - Microsoft DNS - 高度なデータ収集機能を追加 - IETF - dprive WG - スタブリゾルバ・フルリゾルバ間を TLS で暗号化 - dnsop WG - DNS Cookies 復活 - BIND 9.10 の SIT と連携 - TCPトランスポートについて熱い議論 - ISP でのv6逆引きドキュメント、否定的ではない - Negative Trust anchor すすみそう - .home TLD - name collision で 保留中 - Stuart Cheshire氏がhomenetで使いたい - Workshop on DNS Future Toor Service Architecture - 12/8,9 に香港で開催 - 2 つのドラフトが議論される - ルートゾーンのコピーを持つ - ルートDNSの増やし方 - QA - cn からのクエリが多い、というと二つ目のドラフトが迫力があるように(JPRS 米谷さん) - 誰が送ってるかわからない - となるとローカルでもってくれた方が(米谷さん) - そもそも金盾でぐにゃっとしてくれればいいという話も - おもしろい写真が… “DNS Bake-off” 各実装者が並んだ写真(IIJ 島村さん)