-DNS(Domain Name System)の役割と関連ツールの使い方-
最終更新日 2009年8月11日
独立行政法人 情報処理推進機構
セキュリティセンター
本資料は、「DNSキャッシュポイズニングの脆弱性」の対策を更に促進することを目的としており、DNSキャッシュポイズニング対策の検査ツールの使用方法や、DNSの適切な設定方法に関する情報等をまとめています。
第1章では、DNSの役割とその仕組み、DNSキャッシュポイズニングの実現手法とその脅威を解説しています。
第2章では、DNSの問合せ動作を概説し、その動作の理解を深めて頂くための関連ツールとしてwhoisサービスやnslookupコマンドの使い方を説明しています。
第3章では、DNSキャッシュポイズニング対策の検査ツールとして活用できるCross-Pollination CheckツールとDNS-OARC Randomness Testツールの使い方と注意点をまとめてあります。
第4章では、BIND DNSサーバとWindows DNSサーバの適切な設定に関して具体的に記述してあります。なお、DDoS攻撃に関する活動が報告されている(*1)ため、第2版で注意事項を追記しました(2009/2/6追記)。
本資料が、「DNSキャッシュポイズニングの脆弱性」対策の促進に寄与することを期待します。
資料のダウンロード
謝辞
この資料作成には次の方にご協力いただきました。
- 株式会社 日立製作所 Hitachi Incident Response Team (HIRT)
目次
第1章 DNSキャッシュポイズニング
| 1.1 | DNSの仕組み |
|---|---|
| 1.2 | DNSキャッシュポイズニング |
第2章 DNSの動作と関連ツール
| 2.1 | DNSの動作概説 |
|---|---|
| 2.2 | whoisサービス |
| 2.3 | nslookupコマンド |
| 2.4 | まとめ |
第3章 検査ツールの使い方と注意点
| 3.1 | Cross-Pollination Check |
|---|---|
| 3.2 | DNS-OARC Randomness Test (Web版) |
| 3.3 | DNS-OARC Randomness Test (コマンドライン版) |
| 3.4 | まとめ |
第4章 再帰動作の設定
| 4.1 | BIND DNSサーバでの対策 |
|---|---|
| 4.2 | Windows DNSサーバでの対策 |
| 4.3 | まとめ |
脚注
(*1)次のURLを参照下さい。
http://isc.sans.org/diary.html?storyid=5713
http://isc.sans.org/diary.html?storyid=5773
参考情報
- 「DNSキャッシュポイズニング対策」の資料を公開(2009年1月14日)
http://www.ipa.go.jp/security/vuln/documents/2009/200901_DNS.html - DNSサーバの脆弱性に関する再度の注意喚起(2008年12月19日公開)
http://www.ipa.go.jp/security/vuln/documents/2008/200812_DNS.html - DNSキャッシュポイズニングの脆弱性に関する注意喚起(2008年9月18日公開)
http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html - 複数の DNS 製品の脆弱性について(2008年7月24日公開)
http://www.ipa.go.jp/security/ciadr/vul/20080724-dns.html
本件に関するお問い合わせ先
独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 山岸/渡辺
TEL:03-5978-7527 FAX:03-5978-7518 E-mail:
更新履歴
| 2009年8月11日 | 第3版を掲載。RFC1035にあわせた用語定義(P3 他)に変更。 |
|---|---|
| 2009年2月6日 | 第2版を掲載。DNS-OARCの使い方とDDoS対策の注意事項を追記。 |
| 2009年1月21日 | 資料のスライド部分の抜粋版を掲載。 |
| 2009年1月14日 | 掲載。 |
