[Top Page]
------------------------------------------------------------------------
dnsops-jp BOF
6-DEC-2006

司会: yoshikiさん 

full day DNS op: 非常に少ない

* agenda:

status report
cache poisoning
サイバー防災訓練について
DNSSEC計算量
Windows Vista
TCP 53
Phishing site

* status report

松浦さん
2030JSTまでに強制退出

ML参加者数
16-JUN-2006: 70
5-JUL-2006: 976
3-AUG-2006: 1024
6-DEC-2006: 1106

事務局の裏方募集中
  個人としての参加をお願い
  サーバ運用，ドキュメント書き，BoF準備

* poisoning of content server

民田さん
コンテンツサーバもヤバイ?

攻撃の種となるレコード: コンテンツサーバへ
つまり
DNSプロトコルの問題
  応答は問い合わせより大きい
  TXT RR の大きいもの

コンテンツサーバはクラック以前に大きなRRがあるかも
  サービス対象を絞ることはできない

どれくらいサイズが増幅される?
  IP UDP headersを入れて
  dnslab.jp ANY ns.dnslab.jp Q:55 A:312 x5.7
  x6からx10
  . NS BIND 8 with hint Q:45 A:464 x10.3
  DNSSEC:
  se NS a.ns.se Q:59 A:>3000 >x60

AUScert
  http://www.auscert.org.au/render.html?it=80

コンテンツサーバは根本的にオープンなキャッシュサーバより探しやすい
  攻撃が容易になる
  deployも大変だけどampの種にもなってしまうので…
  結局source address validationをがんばるしかない?
  IDS的なsignatureでなんとかする?
  間引く?
  cookie?
  BCP38 ingress filtering がなぜ流行らないのだろうか?
    ISPとしては顧客が増えるわけでもないしメリットが見えにくい
    結局加害者を出さないための対策であり，
        被害者を出さないための対策ではないからウケが悪い
    使ってない機能を入れるためのオペレーションの説得
    お客様への解説が大変
    *通信の秘密*問題(ソースアドレスを見てはいけない)
    OP25Bの次はこれか?
      日本は3年でできるけど…．
    consumer/法人でやっている?
      大学だとうるさくなってきている
    3年で流行らせられれば幸運かも  
  ひたすらbackward compatibilityの問題が大事(ISPとしては)

BIND9 root zone hint が hard-coded されている
  → file /dev/null とでもするしかない
     allow-query none でもつぶせる

* サイバー防災訓練

1-DEC-2006 の総務省報道発表

工藤さん
資料: 総務省web page
電気通信事業分野におけるサイバー攻撃…
ntt.com

DDoS/DNS/VoIP-spam

DNS演習: 各ISPのoperatorの連携
    Yahoo! の DNS を落とす(?!)
    DNS攻撃(対策)ガイドラインの策定
    DNS運用者コミュニティの創造

成果は2007年3〜4月に総務省から報告が出る予定

DNSがダメなときの横の連絡網?
    個人情報の連絡が極めて難しい
    whoisがあるべきかどうか
    targetは誰か?
    どこにcontactするか?
      自宅はイヤ
    ISP同士だとpeeringのための緊急連絡先が使えそう
      実際にはオペレータに届かない
    総務省が音頭を取って連絡先を作っているが，
      DNS/routingはout of scope
      光ファイバーとアクセス系，ISP，携帯

SOAの連絡先は使われているの?
    一応フィッシングの話は見てるが…．
    世界からはJPNICという非常に大きなプロバイダが見える
    クレーム系には使われている(JPNIC)
    実際にはほとんど届かないだろう

JP Root Serversに攻撃が集中した場合はどうすればいいのでしょうか?
AS Pathに向いている限り逃げようがない
    内容についてはカバーしていない
    今後要検討
    2hop先の人たちは分からない
      推測はできるが顧客には説明はできない
    ISPの中に閉じた話をしたい
      JPNIC/JPRSでしょって欲しい
      中小のISPを何とかして欲しい
    今後ISPの中で閉じた窓口や体制をつくるべきでしょう

* Kenji's presentation*

RFC4034 & BIND 9.4 では DNSKEY+RRSIG は送っていない
   nsdと同じ実装になっている(要確認)

「fragmentation禁止」なのではなく「fragmented packetの通過禁止」

* TCP 53

TCP port reachability for the lame delegation check? (JPNIC)
   本来使われるべきものだけど，強制はできない
   しかし使われる傾向は増えてくる
   閉じるとペナルティがあることも広報すべきでしょう

* Windows Vista & IPv6?

query to AAAA RR が増える
   TCPへ行ってしまうだろう
   AAAA RR で引けなくて A RR を引きなおすのが増えそう
   IPv6優先になるのが変わるかも

* 次回: InterOP 2007 JUN-2007

[end of brief log]