質問
DNSサーバがドメイン情報を管理する前に、偽のドメイン情報を覚えこませることは可能ですか |
解答
いい着眼点です 👍 結論から言うと、現代のDNSサーバに「権威を持つ前に偽のドメイン情報を覚え込ませる」ことは基本的にできません。 なぜかを整理して説明します。 1. DNSサーバには「役割」がある DNSサーバには大きく分けて以下があります: * 権威DNSサーバ:自分が管理するゾーン情報を正として持っている * キャッシュDNSサーバ(リゾルバ):ユーザの問い合わせを受け、結果をキャッシュする ここで質問の「覚え込ませる」というのは キャッシュDNSサーバに偽情報を入れる(キャッシュポイズニング) を指していると考えられます。 2. 権威DNSサーバに「勝手に」情報を入れることはできない * 権威DNSサーバは「ゾーンファイル」や「登録レジストラ」から渡されたものしか持ちません。 * 外部から問い合わせを受けても、そのゾーンに無い情報は記録しません。 👉 したがって、管理者権限を持たない人が権威サーバに直接「偽情報を覚えさせる」ことは不可能です。 3. キャッシュDNSサーバは「受け取った応答」を覚える * ここが攻撃対象になる部分です。 * 正常な流れ:問い合わせ → 権威サーバ応答 → キャッシュ → 他のユーザへ提供 * 攻撃の狙い:権威サーバより先に「偽の応答」を送りつけ、キャッシュに保存させる この攻撃が キャッシュポイズニング です。 4. 現代では困難になっている理由 かつては ID フィールドが16ビットしかなく推測しやすかったため、偽応答を送り込めました。 しかし今は以下の対策が標準です: * 問い合わせIDのランダム化(推測困難にする) * ソースポートのランダム化(送信元識別を難しくする) * DNSSEC(応答の署名検証で偽情報を排除) これらにより、権威DNSに到達する前に偽情報を「覚え込ませる」のは極めて難しくなっています。 まとめ * 権威DNSサーバに勝手に偽情報を入れることは不可能(ゾーン管理者しか変更できない)。 * キャッシュDNSサーバにはかつて攻撃可能だった(キャッシュポイズニング)。 * 今はランダム化やDNSSECで防御されており、実用上はかなり困難。 |
 |
 |
この記事へのコメント