パシフィコ横浜で開催されているインターネットの基盤技術や最新動向を学ぶ技術者向けのイベント“Internet Week 2006”では6日、DNS(Domain Name System)関係者を対象にした“DNS Day ~ DNSにおけるセキュリティ再考 ~”を開催した。DNSはインターネットにおける重要な基盤技術のひとつで、その利用範囲も年々広がっている。今回はプログラムの後半で取り上げられた話題を中心にレポートする。
 |
|---|
| 司会進行役のDNSOPS代表 石田慶樹氏 |
肥大化するパケットへの対応とは
後半最初のプログラムは、(株)インターネット総合研究所(IRI)の伊藤高一氏と住商情報システム(株)(SCS)の森拓也氏による“コンテンツデータ肥大化の問題とその対応”。今後想定されるパケットの肥大化がDNSにどのように影響するかをまとめた発表となった。
現在のインターネットで名前解決を担当するDNSでは、そのパケットにUDP(User Datagram Protocol)を使用した場合にデータの上限が512バイトという制限がある。しかし、今後、DNSのパケットの中に多様な情報が入るようになるとこの制限を超えるケースが数多く出てくるとし、その際の技術的対応について語った。
基本的に、DNSの仕組みとしては、UDPによる通信がデータ長が足らないことに起因するエラーとなった場合にはTCP(Transmission Control Protocol)に移行することになる。もしくは、最初からより大きなパケットを扱うことのできるEDNS0(Extension mechanism for DNS)を使うかのどちらかが考えられるということだ。このとき、どちらを使うとどのようなことになるかが実験結果とともに説明された。
TCPを使った場合には、TCPのオーバーヘッドなどにより負荷が大きくなってしまう。一方で、EDNS0を使った場合にはフラグメント(パケットの分断)などによりパケット落ちが発生すると通信に失敗するため、やみくもにパケットサイズを大きくすると問題が起きやすくなることなどが示された。
結果、“EDNS0を使おう”ということになるが、世の中すべてがEDNS0を使えるわけではないのでTCPも必要だとしている。
DNSレコードのTTLを短くすることのリスク
続いてのプログラムとして、(株)インターネットイニシアティブ(IIJ)の松崎吉伸氏による“DNS amplification attacks”と、(株)日本レジストリサービス(JPRS)の民田雅人氏による“DNSレコードのTTLを短くすることのリスク”が行なわれた。
 |
|---|
| IIJの松崎吉伸氏とJPRSの民田雅人氏 |
松崎氏の発表は、DNSを使ったDDoS攻撃がどのように行なわれるかの解説で、ターゲットに向くように、IPアドレスを偽装したDNSリクエストを数多く送り出し、DNSの応答をターゲットに向けるというもの。この際に、DNSリクエストの大きさに対してDNSの応答のほうがパケットサイズが大きくなる点も利用されるという。種類としては、ターゲットのネットワーク帯域を消費するタイプのものだが、非常に大きな攻撃力を持つということだ。
松崎氏は、この攻撃を防ぐには、DNSのサービスを必要な範囲にだけ提供することや、送信元IPアドレスを検証するための技術である“Source Address Validation”を導入することだとした。
民田氏の発表では、キャッシュサーバーがキャッシュデータを保持する時間を短くすると嘘の情報を仕込むキャッシュポイズニング(キャッシュ汚染)の被害に遭いやすくなるということが計算値として示された。この内容は、
- 権威DNSサーバーが2台
- 攻撃対象のキャッシュサーバーが100台
- RTT(Round-Trip Time)は20ms
を同一条件として、IPアドレスを定義するAレコードの保持期間を例にそれがどのように影響するかを調べたものだ。
キャッシュデータの保持期間を決定するのはDNSレコードのTTL(Time To Live)だが、この値を24時間と30秒で比較した場合では、どれか1台のキャッシュサーバーが50%の確率で被害に遭う可能性が非常に大きな差となって表れる。具体的には、前者の場合で1台あたりの攻撃レートを100パケット/秒としたときに約15カ月要するのに対し、後者では攻撃レートを1/10の10パケット/秒としてもわずか38時間しかかからないということが示された。
ダイナミックDNSを利用するときなど、非常に短いTTLを設定する場合にはこうした点に注意をしなければならない。民田氏は、これを回避するためには、DNSサーバーの数を増やしたり、フィルタリングなどにより偽装したパケットをインターネットに出させないようにすることが必要だとした。
インターネットにおいて、DNSは重要な基盤である。また、迷惑メール対策などで使われるドメイン認証などでもDNSが利用されるため、その重要性は日増しに高まっていると言えるだろう。DNSの安定性確保は今後ますます重要になるだろう。
