| BoFの概要 |
アジェンダ
- SDNを用いた反射型DoS攻撃の防御策(NTT首藤)
- 逆引きshellshock考察(山口)
- BIND9のランダムクエリ対策機能(QTNet末松)
- ランダムサブドメインアタックへの対策例について(SCSK服部)
- DNSの統計調査結果の紹介(仮)、DNS-OARC2014,ICANN51,IETF91の話題(JPRS藤原)
発表・質疑(サマリ)
-
SDNを用いた反射型DoS攻撃の防御策(NTT首藤)
SDNを用いて転送ルールを動的に変更し、
他ASとの境界ルータで攻撃パケットのみを遮断する手法が紹介された。
会場からはSDNのフローエントリ数を心配する声が上がったが、
攻撃対象のみを扱うことになるため多くを必要とすることは無いとのこと。
-
逆引きshellshock考察(山口)
shellshockについて、
DNSの仕様・各種OSや関連するライブラリを使用しているソフトウェアの実装について確認した結果が報告された。
多くのOSではlibcによる問題はないが、
MacOSXやOpenBSDが関数によっては影響があるため注意を呼びかけていた。
-
BIND9のランダムクエリ対策機能(QTNet末松)
BIND9のサブスクリプション版に実装されたランダムクエリ対策機能の紹介が行なわれた。
攻撃対象のドメイン名へのクエリ数を制限することでランダムクエリによる影響を回避する機能であるとのこと。
会場からは今後のBIND9の動向や、
攻撃の誤判定などについて意見交換がなされた。
-
ランダムサブドメインアタックへの対策例について(SCSK服部)
Nominum社製のDNSソフトウェアVantioでの対策が紹介された。
再帰問い合わせの同時要求数が上限に達した際に、
権威DNSサーバのIPとドメイン名の組み合わせでレートリミットをかける機能があるとのこと。
-
DNSの統計調査結果の紹介(仮)、DNS-OARC2014,ICANN51,IETF91の話題(JPRS藤原)
2014年のルートサーバの計測データ解析結果によると、
48時間で6億クエリを送信するホストがいること、
TLDや国毎のクエリ数ランキング結果が紹介された。
DNS-OARC2014およびICANN51では、
複数のDNSソフトウェア実装者によるパネルの開催内容を紹介していた。
NLnetlabsとISCが協力関係を築きつつあるとのこと。
IETF 91ではスタブリゾルバ・フルリゾルバ間をTLSで暗号化することを検討するdprive WGの紹介、
dnsop WGでDNS Cookiesの再検討、Negative Trust
anchorが進みつつあることが紹介された。
最後に香港でルートサーバのアーキテクチャを検討するワークショップが開催予定であることも紹介された。
|
