DNS悩み多きシステムの基礎から最新状況まで

DNS(Domain Name System)
悩み多きシステムの
基礎から最新状況まで
日本DNSオペレーターズグループ
代表幹事石田慶樹
QUNOG3
2015/10/16
1Copyright(C) JPIX 2015, All Right Reserved.

本日の予定
基礎とあれこれ(30分)
担当：石田慶樹
最新状況(15分)
担当：末松慶文さん＠QTNet
質疑応答(15分)

自己紹介
氏名：石田慶樹(いしだよしき)
所属：
日本インターネットエクスチェンジ株式会社
経歴：
1988年東京大学助手
1994年九州大学講師
1998年インターネット事業会社へ転職
2007年より現職
2006年6月～
日本DNSオペレーターズグループ代表幹事

目次
イントロダクション
ドメイン名とDNSの基礎
DNSにまつわるあれこれ
DNSOPS.JP
Copyright(C) JPIX 2015, All Right Reserved. 4

DNSとは
Domain Name System/ドメインネームシステム
ドメイン名とIPアドレスの対応付けを行うためのメカニ
ズム(の一つ)
数字の羅列ではなく人間にとって覚えやすい意味の
ある文字列を利用するため
世界規模の(唯一成功した)分散管理データベース
商標やブランドに密接に関係

なぜDNSは悩み多きシステムなのか？
設計
 古い
 曖昧
 実装依存
ソフトウェア
 2つ異なる機能
 明文化されていない機能の実装
 追加機能による高機能化
設定
 見よう見まねで何となく動く
 正しく設定されなくてもなんとかなっている
 コンフィグファイルとデータ(ゾーン)の区別
 設定と挙動に関する誤解

目次
DNSOPS.JP

ドメイン名とは
ドメイン名
www.example.jp
www.ドメイン名例.jp
(www.xn--eckwd4c7cu47r2wf.jp)
mail.example.com

ドメイン名の構造
ツリー構造
ルートドメイン
トップレベルドメイン
Top Level Domain
TLD
セカンドレベルドメイン
Second Level Domain
SLD
.
de netjp
exampleexampleドメイン名例
com
co
www www mailns
FQDN：Fully Qualified Domain Name
トップレベルドメインまでのすべてを含むドメイン名

TLDの種類
gTLD(分野別トップレベルドメイン名)
 750以上→最終的には1200程度
 generic top-level domain
 .com, .net, .xxx, .みんな, .moe
ccTLD(国コードドメイン名)
 301種類
 country-code top-level domain
 , .jp, .de, .uk, .tv, .cc, .香港, .台灣
予約済TLD
 test, example, invalid, localhost, local

ドメン名の管理構造
.
de netjp
com
co
www www mailns
ICANN/IANA
レジストリ
レジストラント
レジストラ
リセラー
オペレータ
サービス
プロバイダー

gTLDに関わる主要当事者
ICANN レジストリレジストラ (リセラー) レジストラント
1TLDあたり1レジストラ
リセラーを経由せずにレ
ジストラントはレジストリと
の直接契約もあり
ドメイン名の登録者
ICANNと契約レジストリ／レジストラ間契約
再販契約／登録取次レジストラ認定契約ドメイン名登録

主要当事者と主要システム
ICANN レジストリレジストラ (リセラー) レジストラント
レジストリ
システム
TLD
DNS
whois
システム
レジストラ
システム
DNS
DNS
ルートサーバ
DBオペレータ
DNSオペレータ DNSオペレータ
このいずれかに存在

DNSとは
Domain Name
System/ドメインネーム
システム
FQDNとIPアドレスの対
応付けを行うためのメ
カニズム(の一つ)
数字の羅列ではなく人
間にとって覚えやすい
意味のある文字列を利
用するため
世界規模の(唯一成功
した)分散管理データ
ベース
.
de netjp
com
co
www www mailns
DNS
DNS
DNS
DNS DNSDNS

DNS
インターネットそのものを支える基盤技術
FQDNからIPアドレスを解決するディレクトリサービ
ス
ツリー状の分散データベースにより実現一見うまく
動いているかに見える
実際には様々な問題点が散見される
昔の問題あるソフトウェアの利用
設定の正しくないサーバ/クライアントの存在
ミドルボックスによる意図しない妨害
プロトコル自体の問題点
脆弱性を狙った攻撃
問題解決は運用組織の自主性に任されている

DNSサーバ
権威DNSサーバ
DNSのドメインに関するデータを保持するサーバ
DNSキャッシュサーバからの問い合わせに対して応
える
キャッシュDNSサーバ
クライアント端末からのDNSの問い合わせに対し
てルートから順に再帰的に問い合わせをすること
により解決しクライアントに答えるサーバ
データを一定時間に保持(キャッシュ)することから
DNSキャッシュサーバと呼ばれる

DNSのサーバ 権威DNSサーバ
 Authoritative Name Server
 権威ネームサーバ
 DNS権威サーバ
 権威サーバ
 コンテンツサーバ
 キャッシュDNSサーバ
 Full-Service Resolver, Full Resolver
 Recursive Server, Recursive Name Server
 キャッシュネームサーバ
 DNSキャッシュサーバ
 キャッシュサーバ
 スタブリゾルバ(Stub Resolver)
色々な呼び方がされているのが
分かりにくくしている一因

DNSの構成
.
jp
example.jp
NS
ネームサーバ
問い合わせ
返答
example.jp
..
jpjp
root-servers 13系列
JP DNS サーバ 5系列
primary secondary
NS
上位サーバ
上位サーバ
PC
クライアント
スタブリゾルバ
キャッシュDNSサーバからは
Primary/Secondaryの区別はない
権威DNSネームサーバキャッシュDNSサーバ
反復的に問い合わせを行い
名前を解決する
上位から下位のサーバ
を指定することを委任
(delegation)と呼ぶ

目次
DNSOPS.JP

脅威にさらされるDNS
DNSへの脅威
1. DNSサーバへの脅威
2. 保持しているデータへの脅威
3. DNSを踏み台とした脅威
脅威の原因
 UDPであること(パケットの一方的送付が可能)
 Source Address Spoofingが容易な接続環境
 プロトコル／仕様そのものに起因する要因
 不適切に設定されたDNSサーバ群
 一部機器での不用意なDNSの実装

1. DNSサーバへの脅威
ソフトウェアの脆弱性
 特に主流のソフトウェアであるBINDは毎年多数の重要性
の高い脆弱性が発見されている(年間5件程度)
 特に夏頃に脆弱性の報告が多い(BINDの夏)
 BINDは多機能で権威／キャッシュの両方に利用可能なた
め利用者数が多い
解決策としては別の実装やアプライアンスの利用
 権威DNSサーバ側
 NSD
 Knot DNS
 キャッシュDNSサーバ側
 UNBOUND
「重複」！

2. 保持しているデータへの脅威
ドメイン名の乗っ取り
レジストリやレジストラのデータの書き換え
ドメイン名登録／変更用のアカウントの乗っ取り
権威DNSサーバの乗っ取り
脆弱性を利用した権威DNSサーバの乗っ取り
キャッシュDNSサーバへの毒入れ
キャッシュポイズニングとも呼ばれる
カミンスキー型攻撃

カミンスキー型攻撃
カミンスキー氏が2008年に発表
力技による毒入れ手法
http://jprs.jp/related-info/guide/009.pdf より

カミンスキー型攻撃
カミンスキー攻撃を招いた3つの脆弱性
 UDPの本質的脆弱性
 Source Address Spoofingが容易
⇒BCP38
 DNSの脆弱性
 Query/Responseに対してのセキュリティ不在
⇒DNSSEC
 BIND等ソフトウェアもしくは設定の脆弱性
 ソースポート固定
 エントロピーの不足
⇒パッチの適用

カミンスキー型攻撃へのDNSでの対策
ランダム性を増加させる
キャッシュDNSサーバのポートランダム化は必須
権威DNSサーバ側でも危険性を軽減する方策は
可能
本質的対策はDNSSEC
DNSSECによりデータが改ざんされたことを検出
毒入れされた相手には接続できない

DNSSECとは
DNSSEC: DNS SECurity extensionの略
RFC4033, RFC4044, RFC4045
電子署名によりデータの内容を保証
権威DNSサーバのデータを証明書で署名することに
よりキャッシュDNSサーバ側でそのコンテンツが正当
であるかの判定ができる
DNSのツリー構造の中に証明書を登録することによ
りDNSの中に閉じて解決が可能
但しルートの証明書についてだけは別途正当性の確
認が必要

DNSSECの構造
.
jp
example.jp
NS
ネームサーバ
問い合わせ
返答
..
jpjpNS
PC
クライアント
ゾーン
データ
ZSK
秘密鍵
KSK
秘密鍵ZSK
公開鍵
KSK
公開鍵
署名
ゾーン
データ
署名
ZSK
公開鍵署名
署名
登
録
KSK
公開鍵と
等価情報
権威DNSネームサーバキャッシュDNSサーバ

3. DNSを踏み台とした脅威
DDoSのツールとしてDNSを利用
主としてUDPなので利用しやすい
不適切に設定されたDNSサーバが多い
不用意な実装された機器が多い
同様な例はUDPを使うNTPでも発生
最近の傾向としてDNSに着目した攻撃も多発
Webサーバの攻撃の替わりにDNSを攻撃
抜本的対策が難しい側面も

DNS Reflector Attacks
インターネット
攻撃者
踏み台
踏み台
クエリ
クエリ
被害者
リプライ
リプライ
オープン
リゾルバソースアドレスを
被害者のアドレスに偽造
オープン
リゾルバ
DNS
コンテンツ
サーバ
クエリ
リプライ
クエリ
リプライ

DNS Reflector Attacksの対策
① ソースアドレスを偽造したIPパケットの停止
⇒ BCP38
☆ ISPが対応
② 設定の間違ったDNSサーバやオープンリゾルバの停止
⇒ サーバやホームルータの設定の見直し
⇒ レンタルサーバやVPSの設定の見直し
☆ ISP, サーバ関連事業者やベンダが対応
③ コンテンツサーバでの対策
⇒ レスポンスが特定アドレスに集中しないような対策
⇒ DNS Response Rate Limitingの導入
☆ DNS提供者が対応

DNS Reflector Attacks
攻撃者
踏み台
踏み台
クエリ
クエリ
被害者
リプライ
リプライ
オープン
リゾルバソースアドレスを
被害者のアドレスに偽造
オープン
リゾルバ
DNS
コンテンツ
サーバ
クエリ
リプライ
クエリ
①
① ②
②
③

DNSを踏み台とした攻撃
DNS水責め攻撃
DNSのサーバへの攻撃
DNS Reflection Attackの変形
カミンスキー型攻撃との組み合わせ
オープンリゾルバやbotを介した攻撃
ターゲットとされたドメイン名を使えなくするこ
とが目的(?)
本質的な対処は難しい側面も

DNS水責め攻撃
① 攻撃者はソースアドレスを偽ってオープンリゾルバとなってい
るホームルータやbot(「踏み台」と呼ぶ)に対して特定(攻撃
対象?)のドメイン名(「対象ドメイン名」と呼ぶ)に関して
001.example.jp
002.example.jp
…
といった問い合わせを行う
② 「踏み台」からはISPのキャッシュDNSサーバに対して問い合
わせを行う
③ ISPのキャッシュサーバは「対象ドメイン名」の権威DNSサーバ
に問い合わせを行う
④ そのようなFQDNは存在しないのでエラーとなる
⑤ エラーとなったデータはキャッシュされない

DNS水責め攻撃(続き)
⑥ ISPのキャッシュDNSサーバは大量に類似の問い合わせを受
け負荷が高まる
⑦ 「対象ドメイン名」の権威DNSサーバも大量に問い合わせを
受けて負荷が高まる
⑧ ISPも「対象ドメイン名」も機能不全に陥る

DNS水責め攻撃
35
攻撃者
BOT
クエリ
対象ドメイン名オープン
リゾルバ
クエリ権威
DNS
サーバ
キャッシュ
DNS
サーバ
クエリ
キャッシュ
DNS
サーバ
BOT
クエリ
クエリ
クエリ
クエリ

対策
対策が困難
本質的解決
ソースアドレスのValidation
オープンリゾルバ/BOTの排除
一時的な解決
対象ドメイン名に対する何らかの制御
不審な問い合わせの制御
自網外からのDNSの問い合わせの制御
いずれも
リソースを要する

名前衝突の問題
「新gTLDの外部のサイトが見えない」
.corp
勝手TLD
新gTLD追加前
.com .org
.jp企業やISP
ネットワーク
.corp
勝手TLD
新gTLD追加後
.corp
新gTLD
.com .org
衝
突
.jp企業やISP
ネットワーク
矢印: ドメイン名の問合せ
凡例四角: ドメイン名
新gTLD
追加 !?
同じTLDのサイトが
存在することによって
予期せぬ問題が発生

【対策】勝手TLDは使わない
・勝手TLDは使わない
server.tokyo
→ server.tokyo＋(会社ドメイン)
・短縮名・サーチリストは使わない
問題起きてからの対策は大変
ユーザサポート・教育コスト
システム変更
証明書入替え
早めにシステムを点検し対応を

目次
DNSOPS.JP

日本DNSオペレーターズグループ
(DNSOPS.JP) http://dnsops.jp/
■名称
本会は正式名称を「日本DNSオペレーターズグループ(英文名称: DNS Operators' Group,
Japan)」とし、略称を「DNSOPS.JP」とします。
■設立趣意
ドメインネームシステム(DNS)のオペレーションを通して社会基盤としてのインターネットの安定運
用に寄与することを目的とし、「日本DNSオペレーターズグループ(DNSOPS.JP)」を設立します。
本会は、DNSのオペレーションに関し、参加者間の情報交換、共有、議論の場の提供、円滑な運
用のための情報公開、および国内外における関係各組織との連携等を行います。
■設立背景
DNSは、インターネットにおける重要な基盤技術の一つであり、円滑なインターネットの利用のため
には、安定運用が必須です。昨今のADSL・FTTHの普及や、携帯電話・PHS等のモバイル機器に
よるインターネット利用環境の多様化等によりわが国におけるインターネットの利用は急速に拡大
しており、それに伴いDNSの重要性はますます高くなっています。
また、DNSは、各家庭や企業等に設置されているPCやブロードバンドルータから、ISPやインター
ネットレジストリが管理運用する大規模なDNSサーバに至るまで、多種多様な要素により構成され
ています。
そのため、DNS全体の安定運用を実現するためには、実際のDNSサーバのオペレータ間における
連携のみならず、ネットワークのオペレータ、各種ネットワーク機器の開発者、DNSに関する研究
者・専門家・識者等を含んだ、横断的かつ全体的な連携が必要となり、これを行う場の設立が望
まれています。

QUNOGとDNSOPS.JP
Routing/BGP: IRS
Web/TLS: PKI
E-mail: JEAG, DKIM.jp
DNS: DNSOPS.JP
ENOG
JANOG
QUNOG

DNSOPS.JPの活動
イベント（DNS Summer Days)の開催
2012年より毎年開催
DNSに関するチュートリアル→ビデオアーカイブ
ホットな話題
BoFの開催
Internet Weekの中で開催
ライトニングトークが主
今年もやります。

DNS Summer Days/Tutorial
発表者タイトル発表年ジャンル
森下泰宏 DNS入門 2012 成り立ち
滝澤隆史 DNS再入門 2014
仕様
滝澤隆史 DNSのRFCの歩き方 2012
山口崇徳 DNSのシステム設計 2013 設計
高嶋隆一 DNS設定例の紹介(オーソリティティブ) 2014
設定山口崇徳 DNS設定例の紹介(キャッシュ) 2014
東大亮 DNSキャッシュサーバの設定ノウハウ 2014
水野貴史初心者のためのDNS運用入門 2014
運用伊藤高一 DNSのよくある間違い 2012
山口崇徳 DNSトラブルシューティング 2012
森下泰宏教科書には載っていないDNS 2013 仕様(応用)

DNS悩み多きシステムの基礎から最新状況まで

Recommended

Recommended

More Related Content

What's hot

What's hot (19)

Viewers also liked

Viewers also liked (8)

Similar to DNS悩み多きシステムの基礎から最新状況まで

Similar to DNS悩み多きシステムの基礎から最新状況まで (20)

More from Yoshiki Ishida

More from Yoshiki Ishida (16)

DNS悩み多きシステムの基礎から最新状況まで