第3章 情報セキュリティにおける脆弱性 3.5. DNSの脆弱性と対策 3.5.4. 512オクテット制限ヘの対応

第3章 情報セキュリティにおける脆弱性
3.5. DNSの脆弱性と対策
3.5.4. 512オクテット制限ヘの対応
DNSの名前解決では,通常UDP53番ポートを使用するが,このとき,-つのバケツトに格納できるデータは512オクテットに制限されている。データが512オクテットを超える場合は,DNSサーバはTC(Truncation)ビットをセットして返信することによってデータが切り捨てられたことを問い合わせ元のホストに伝える。それを受け取った問い合わせ元のホス‥よ,TCP53番ポートを使用して再度問い合わせをする。この仕組みをTCPフオールバックという。TCPフオールバックでは,コネクション型のTCPを使用するため,I丁DPを使用する場合と比べ,DNSサーバへの負荷が高まるとともに応答時間が遅くなるという問題がある。
この問題を解決するものとして,EDNS0(ExtensionmechanismforDNSversion0)がある。EDNS0はDNSの拡張機構であり,通信可能であればUDPパケットサイズを最大65,535オクテットまで拡張することができる。EDNS0では,OPTリソースレコードによって問い合わせ元のUDPパケットサイズを識別し,DNSサーバ側では指定されたサイズに合わせて応答データのサイズを調整する。当然のことながら,EDNS0を使用するためには,DNS通信を行うサーバ,クライアントの双方がEDNS0に対応している必要がある。
近年,IPv6,DNSSEC,SPF,DKIM等の普及により,DNSで取り扱うデータは拡大傾向にあるため,5l2オクテット制限の問題がより現実的なものとなってきている。こうしたことから,IPv6やDNSSECのデータを取り扱うDNSサーバについではEDNS0をサポートすることが必須とされている。

184

3.5DNSの轟覇性と対策
V
ロ【Ql】
口【Q2】
口【Q3】
口【Q4】
口【Q5】
口【Q6】
DNSの主な麗弱性を3点挙げよ。
Qlで挙げた臆弱性を狙つた攻撃を受けた場合の影響についで述べよ。
キャッシュサーバとコンテンツサーバそれぞれの役割についで述べよ。
DNSSECの仕組みと導入による効果について述べよ。
セキュリティを考慮したDNSサーバの構成,設定についで述ベよ。
DNSの5l2オクテット制限とEDNSOについて述べよ。
DNSに関する記述のうち,適切なものはどれか。
アインターネット上のDNSサーバは階層化されており,ある名前の問合せが解決できない塙
合は,上位のDNSサー川こ閻い合わせて結果を得ることができる・
イ セ力ンダリサーバは,大規模なネットワークシステムにおいてフライマリサーバの負荷を軽
減するために用いられ,プライマリサーバとは異なる内容のデータベースを保持している。
ウネームリゾル川よクライアントからの要求に応答し,データベースを使用してドメイン名,
ホスト名に対応するIPアドレスを返すプログラムである。
エ リソースレコーH劃よそのレコードの型や通常使われる標準名,IPアドレスなどが保持され
ており,DNSサーバの構築時に登録され,更新することができない・
[テクニ力ルエンジニア(情報セキュリティ)試験・H2O・午前問l5]
●解答・解説
ア正しい記述である。
イセ力ンダリサー川よフライマリサーバと同じ内容のデータベースを保持している。
ウネームリゾルバは,クライアントからの要求に応じてDNSサーバに問い合わせることで,クライアントこ代わって名前解決を行う仕組みである。
エ リソースレコードは必薯に応じて更新することが可能である・
したかってアが正解。

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>