午前中のチュートリアルは時間がないのでパスして、午後のワークショップから参加。13時半スタートくらいのつもりだったが直前にタイムテーブルみたら12:45スタートだったのであわてて会社を出る。外は蒸し暑いし扇子忘れるし山手線は混んでるしで汗だく。
ちょい遅刻。
[2015-07-24 13:02]
OpenStack Designateで作るDNSaaS / 大本貴
- Designate
- DNSaaSを導入すると
- 頻繁に更新するのでTTLが短かくなる
[2015-07-24 13:11]
権威DNSサーバどこにあるの? / 島村充
- 日本が孤立したら? 海底ケーブルがすべて切れたら?
- GeoIPはanycastであてにならないので pingのRTTで調査。
- 50ms以下で日本か
- 95%は1つのIPアドレスで1NS。
[2015-07-24 13:22]
[2015-07-24 13:25]
パネルディスカッション: DNSのサービスレベル
- モデレータ: 山本功司
- パネリスト:
- 総務省 金坂哲哉
- ビッグローブ 永末喜己
- nttcomエンジニアリング 佐藤正春
- icann/jprs 松浦孝康
- 電気通信事業法ではコンテンツ配信業者やレジストリ(媒介しない)は届出不要。MVNOなど(媒介する)は届出必要。ファイバーひくと登録必要。
- ドメイン名電気通信役務: 権威のみ。レジストリとホスティングサービスが対象でレジストラは対象外。
- キャッシュサーバ:100万以上の契約のISPは信頼性の関する規律の対象。
- SLR,SLA
- gTLDは最低2サーバ要求
- 45プローブノードが51%以上でインシデント
- Emergency Back-end Registry Operator: EBERO
- zabbixでモニタリング
- VM: CPU使用率30〜40%になるよう台数コントロール
- ISCとサポート契約するとパッチ情報が数日前にもらえるので安心
- 権威サーバよりキャッシュサーバの方がさばく量がおおい
- prefetchじゃなくてスマホ利用とかでクエリが増えてきている
- 一部のユーザがクエリを押し上げている
- DNSがとまってもツイッターはつかえる安心感?
- ダウンディテクター
- DNSキャッシュサーバ3万人2時間に影響で公表とか? 基準どうする 具体的な数値基準よりもユーザの苦情があるかどうかで?
[2015-07-24 14:52]
Q: 法律上、DNSの利用者は?
A: ドメイン名の登録者
Q: IPアドレスを返さない外部名しか返さないと、法律の適用外?
A: 省令レベルで対応可能。
[2015-07-24 14:58]
休憩
[2015-07-24 15:12]
DNS水責め対策と動向 / 末松慶文
- オープンリゾルバになっているホームルータは数が多いのでお願いしてまわるのは困難。
- 権威からの応答がかえってこなくてロードバランサーやキャッシュのリソースが枯渇する。
- ランダムクエリの発生源: BOT化PC、WEBカメラ、ホームルータ(大多数)
- webカメラにeasyパスワードで侵入
- IP53B:
- オープンレゾルバ確認サイトでsafetyと判定されてしまう問題
- iptables hashlimit
- cache DNS→auth DNSをブロックする
- cache DNSのoutは少ないので負荷が低い
[2015-07-24 15:34]
Q: ホームルータの駆除はむつかしい?
A: 70,80才のおとしよりでファームアップデートをお願いするのはむり。法人だとシステム更改のタイミングがあったり。
abuseにまわして、上りトラフィックが制限越えて契約解除になるのをちらつかせたり。
Q: 網内bot数は?
A: 数%だった。ISPによっていろいろみたい。
日本はBOT感染率は低くて1%くらい。
srcIP詐称する必要はないので攻撃者はオープンリゾルバをさがさなくてもBOTでよい。
Q: SERVFAILはふつうはおこらないが、ratelimitにひっかかった場合との区別は?
A: ログはとっている。(どの権威への問い合わせをおとしたか、NSの数はどうか、などを記録している) NSは16くらいまで増やしてるみたい。
[2015-07-24 15:44]
[2015-07-24 15:45]
PowerDNSで遊んでみた / 坂口俊文
- powerdnsはC++で実装
- 攻撃方法: ラベルの数を多くする。名前の圧縮でループするように細工。1500Bを越えないように。
- ループのリミットが1000と大きすぎたのが原因
- std::string::reserve()を何度も呼んでるのも遅くなる原因だった。reserve()が遅いのは実装の問題か。
- ドメイン名の長さリミットがなかった問題
- 64KBのラベル多数のクエリをなげる→CPU100%,バックエンド(MySQLなど)が過負荷に。
[2015-07-24 16:02]
Q: powerdnsは全体にはよくできていて対応も良い。なぜpowerdnsに興味をもったか?
A: 東さん関係で、無限に委任する応答するサーバを書いていてコードがたまってきたので。
[2015-07-24 16:06]
[2015-07-24 16:06]
最近のセキュリティ界隈のことを何か話す(仮) / 須賀祐治
- SHA1のコリジョンはまだみつかってない。5年まえからいわれてるけど。
- RC4はまだまだ使えるとおもうけど、戦力外通知になった。
- エンドユーザのクエリはプライバシー的に暗号化したい?
- DSクエリの応答は短かい方がうれしい
- ECはパテントがクリアじゃないので当初はRSAが標準化。なのでEC系は番号がおおきい。
- HSM(hardware security module): データがとりだせないのはいいけど、中の乱数生成器だいじょうぶか心配。
- タイワンの住基カードがやばかったり
[2015-07-24 16:38]
DANE デーン
休憩
[2015-07-24 16:50]
DNSSEC普及状況アップデート + ランダムサブドメイン攻撃検知手法の紹介 / 佐藤一道
- 普及とは数じゃなくて有名サービスがつかってるかどうか。
- excelで計算したらDNSSECは2040年に普及率100%の予想...
- ISPでキャッシュサーバでvalidatorすると、お客さんからクレームきちゃうのが普及率があがらないげんいん?
- 問い合わせサブドメイン多いところが攻撃されている可能性が高い→そもそもサブドメイン多いところを誤検知する問題
- アンチウイルスはDNSをつかってURLのチェックしているらしい。
- サブドメイン数の変化をみればよい?
- public suffix: モジラがメンテしている.comとか.co.jpとか。せいぜい数千。
- private suffix: public suffixの1つ下のドメイン。ここのサブドメイン数の変化をみればよくない?
[2015-07-24 17:13]
Q: キャッシュサーバからもできる? キャッシュサーバ自体の情報をつかったら良さそう。
A: VMでやったりスイッチからひきこんだりでできるとおもう。簡単のために応答メッセージは見てないが、みると精度あがるかも。
Q: OCNでつかっている。(身内)
A: ありがとうございます。
[2015-07-24 17:17]
[2015-07-24 17:17]
逆引きDNSSEC導入について / 小山祐司
- ICANN→IANA→RIR(5)→NIR
- in-addr.arpa, ip6.arpaは2010年からDNSSEC ready.
- google adwordsでDNSクエリをださせてvalidationしているクライアントを調査
- google public dnsをつかう人がおおいのでvalidationのクライアント数が引き上げられている感じもある
- JPNICがDNSSECを導入 2015年10月 DS登録予定 (秋のIWでアナウンス?)
- 逆引きDNSは要るのか?
- メール到達性: MTAに動きあり。まだADビットがたってるかどうかログに残すレベルだけど。
- IPSECKEY/IPSECA (I-D): おてがるVPN。
[2015-07-24 17:33]
DNSとTLSのビミョーな関係 / 佐原具幸
- https: ドメイン名とサーバの関係がびみょう
- ワイルドカード証明書
- "*" これだけではあらゆるドメイン名にマッチするわけではない。
- "*.jp" 実装依存。
- "*.google" はある
- 単一の管理主体かどうかで判断するしかない? → public suffix listで検証?
[2015-07-24 17:42]
森下さんに物理的に挨拶(いわゆる名刺交換)して帰ってきた。