【セキュリティ】DNSに関するセキュリティ攻撃

■ はじめに

https://dk521123.hatenablog.com/entry/2015/02/03/151621

の続き。

 DNSに関するセキュリティ攻撃である
DNSキャッシュポイズニング(DNS cache poisoning)
について学ぶ。

目次

【1】前提知識
【2】DNSキャッシュポイズニング(DNS cache poisoning)
 1)対策

 【1】前提知識

DNSとは

 * 以下の関連記事を参照のこと

https://dk521123.hatenablog.com/entry/2015/02/03/151621

 * ここで、重要な点は、上記の関連記事の
 「DNSへの問い合わせシーケンス」の以下の記述。
~~~~~~~~~~~
7)DNSサーバは、上位DNSサーバから得た回答を
  クライアントに回答し、自身のキャッシュに回答情報を保存する
~~~~~~~~~~~

 【2】DNSキャッシュポイズニング(DNS cache poisoning)

DNSキャッシュポイズニング(DNS cache poisoning)とは

 * あらかじめキャッシュDNSサーバに、偽の情報を覚え込ませ、
   ユーザーが正しいアクセスを行ったつもりでも、偽のサイトに誘導する手法

 1)対策

* 返ってきた応答が正しいものかどうかを調べる

=> DNSSEC(※)を導入すれば、DNSの応答が「本当に正しい」ことを、
 ディジタル署名によってDNS応答の正当性を検証できる

 * 再帰的な問合せに対して、内部ネットワークからのものだけに
 応答するように設定する

※ DNSSEC

* Domain Name System Security Extensions:DNSセキュリティ拡張

 参考文献

https://www.nic.ad.jp/ja/newsletter/No40/0800.html
http://e-words.jp/w/DNSE382ADE383A3E38383E382B7E383A5E3839DE382A4E382BAE3838BE383B3E382B0.html
http://www.atmarkit.co.jp/ait/articles/1012/06/news113_2.html
http://www.atmarkit.co.jp/ait/articles/1104/13/news120.html
http://itpro.nikkeibp.co.jp/article/COLUMN/20130218/456766/?rt=nocnt
徳丸浩さんの記事
http://www.tokumaru.org/d/20071126.html
http://www.tokumaru.org/d/20100325.html

 関連記事

DNS (Domain Name System)
https://dk521123.hatenablog.com/entry/2015/02/03/151621