2024.02.21 01:13

すごく簡単に書いたDNSとDNSSECのお話（NetwingsJ）

どうも、ネットウイングス田所です。おはようございます。あれから、いやっちゅうほど書き直して分かりやすくして、記事のタイトルの改題までしました。

僕の旧Twitter（現X）では、情報技術者同士の緩い連帯感を重視したアカウントを持っています。そこでいま、話題で持ち切りなのが「BIND9のDNSSEC部分の致命的な脆弱性」という話題なんです。まあ、パッチ当てをすれば急場はしのげますが、根本的な原因がある以上、プログラム組みなおしになるんでしょうね？

これだけでは、なんのこっちゃ？　なにそれおいしいの？　という話になると思うので、後述しますが、インターネットを使う時に、NTT東西のルーターと、例えばWindowsやMac、あるいはブロードバンドルーターを直接線でつなぐ時に、必ずしなきゃなんない「DNS設定」ってあると思います。そこに、アクセスプロバイダさんから供給された「DNSのIPアドレス」を、プライマリ、セカンダリに分けて入力すると思うんです？

何で最初にこういうことをするかというと、手許のパソコンさんは「ふんだらかんだら.com」……と入れても最初は理解が出来ないので、まず、アクセスプロバイダさんのDNSサーバーに「これ何？　これどこ？」と問い合わせます。アクセスプロバイダさんのDNSサーバーは、よく使われるドメイン名と、IPアドレスの対応表を自動で持っています。そういうものが、UNIX/Linuxサーバーという、コンピュータのお化けみたいなもので出来ています。この、コンピュータのお化けたちを「インターネットサーバー」と呼び、その中でも名前解決に使われる、IPアドレスの対応表を「DNSサーバー」と呼ぶのですよ。

アクセスプロバイダのDNSサーバーで解決出来ない（知らない）FQDN名（「ふんだらかんだら.com」）があったら、更に上位の詳しいサーバーに「これ何？　これどこ？」という問い合わせを繰り返します。その繰り返し（DNSの再帰的問い合わせ）で、最終的にはDNSの親玉（権限サーバー、ルートサーバー）まで訊いて、尋ねて、その答えを逆に手許のパソコンさんに返します。答えを返すことや、その答えそのものを「クエリ」って呼ぶんですけどね？　そのインターネットの仕組みこそが、ドメインネームサービス、略して「DNS」ということになるのです。一種のデータベースです。

そして、同じことを何度も訊かれてもいいように、各々のDNSサーバーには「DNSキャッシュ」という、一時的なデータベースの蓄積があるのですよ。ただし、ここが汚染（DNSキャッシュポイズニング）されると、それはそれで不正なIPアドレスを答えとして返してしまうので良くないんですけどもね？　それはまた別のお話ということで。

IPアドレス（例えば、192.168.XX.XX）だけでは分かりにくいので、人間様に分かりやすいように「ふんだらかんだら.com」とかいう入力だけで済んでいるのが、この「DNS」の仕組みなんです。また、DNSを解決する者、という意味の英語で「DNSリゾルバ」という言い方をする時もあります。

もっと詳しく言うと「正引き」とか「逆引き」とか「ゾーン」とかいう話になって、とてもややこしいので、ここでは割愛させていただきます。ご自身で調べるか、DNSって何？　というのが書いてある技術書を買ってみて、読んでみてください。

そんな重要なDNSサーバーに、いま一体何が起きているのか？

UNIX（ゆにっくす）やLinux（りなっくす）で、一度でもいいからサーバー構築をした人なら、人生で必ず一度はお世話になるDNS用ソフトウェアで、「BIND」（ばいんど）というサーバーがあります。世界中のインターネットサーバーの９割がUNIX/Linuxサーバーで出来ており、その中にBINDって必ずと言っていいほど入っています。さらに、その中の３割のサーバーで、追加機能（エクステンション）として「DNSSEC」（でぃーえぬえすせっく）というものを付けて構築しています。

いま、実際に使われているDNSのほとんどが「BIND9」（ばいんど（バージョン）ナイン）という名前の代物でして、その中の安全性を担保する部分DNSSECに、設計上の弱点があるのです。そこを突いて攻撃して、サーバーごと倒しちゃえ、と企んでいる、悪意がある人たちに狙われています。どこの誰かは分からないけどね？　詳しくは、リンクを付けておきますので、ITmediaエンタープライズの記事に委ねるとして、ある悪意のある攻撃を仕掛けることで、このDNSサーバーごと倒せちゃう。この弱点を突くと、コンピュータのお化けが自分自身の負荷に耐えかねて、ダウンしてしまう。これを、ドイツの研究機関が突き止めて、これは放置すると危険だと警告しているのが、下のリンクの記事です。はひー、やっと本題にたどり着きました(･∀･)ノ

ITmediaエンタープライズ／BIND9のDNSSECの脆弱性について

「DNSに対する最悪の攻撃」　DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる

ATHENEはDNSSECの設計に深刻な欠陥があると発表した。この脆弱性を悪用すると単一のDNSパケットで全てのDNS実装とパブリックDNSプロバイダーを停止状態にすることが可能だという。

ITmedia エンタープライズ

こういうことにおカネをかけないから、日本国は先進国の中でも後進国呼ばわりされてしまうし、研究者は、もっとおカネが儲かる海外へと頭脳流出してしまうので、僕はもうこの国を先進国と呼ぶにはおこがましい、と思っているのです。コンクリートで出来ている、立派な建物はいっぱい建つくせにね？　なんかおかしいです、この国は。

ではでは、またね(･∀･)ノ

パソコンのお医者さん　これだけ書いてもギャラはおんなじ　ネットウイングス　代表　田所憲雄　拝

ネットウイングス

兵庫県尼崎市のネットウイングスは、個人で2002年から始めた、日本のユースウェアにかかわる団体でして、パソコンに関する個人に向けた、パソコンのユーザービリティを高めるための活動をしています。

このページに掲載された記事の名称や内容は、各社の商標または登録商標です。意匠権も同様です。また、ページ内でご紹介している記事、ソフトウェア、バージョン、URL等は、各ページの発行時点のものであり、その後、古くなったり、変更されている場合があります。

The names and content of the articles on this page are the trademarks or registered trademarks of the respective companies. The same applies to design rights. The articles, software, versions, URLs, etc. referred to in the pages are current at the time of publication of each page and may have since become outdated or changed.