DNSキャッシュポイズニングの脆弱性の有無を確認する

dns

server

ipa

checker

DNSキャッシュポイズニングの脆弱性の有無を確認する方法のまとめが、IPAから発表されていたので試してみました。７月にパッチは当てたので大丈夫なはずなのですが、いちおう念のためです。

情報処理推進機構：情報セキュリティ：脆弱性対策：DNSキャッシュポイズニングの脆弱性に関する注意喚起

DNSキャッシュポイズニングの脆弱性の有無を確認するには、DNSサーバにおいて下記の3点を確認する必要があります。下記3点のうち、いずれかに該当する場合、利用しているDNSサーバにパッチが適用されていないか、または、DNSサーバの設定に問題があります。

1. DNS問い合わせに使用するポート番号がランダム化されていない。
2. DNS問い合わせに使用するIDがランダム化されていない。
3. 外部からの再帰的なDNS問い合わせに対して回答してしまう。

上記の方法を一度に確認する方法はないようなので、ひとつずつ片付けていきます。

† DNS問い合わせに使用するポート番号がランダム化されていない問題の検査

Check your resolver's source port behaviorを使います。具体的には以下のようにコンソールからdigコマンドを使うことになります。ちゃんと実行結果がGREATと出ているので問題なさそうです。問題がある場合にはこの部分がGOODやPOORになります。

# dig -x dig +short porttest.dns-oarc.net TXT
porttest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"210.188.204.98 is GREAT: 26 queries in 2.8 seconds from 26 ports with std dev 22212"

† DNS問い合わせに使用するIDがランダム化されていない問題の検査

Check your resolver's transaction ID behaviorを使います。上記と同様に具体的には以下のようにコンソールからdigコマンドを使うことになります。こちらも実行結果がGREATと出ているので問題なさそうです。問題がある場合にはこの部分がGOODやPOORになります。

# dig +short txidtest.dns-oarc.net TXT
txidtest.y.x.w.v.u.t.s.r.q.p.o.n.m.l.k.j.i.h.g.f.e.d.c.b.a.pt.dns-oarc.net.
"210.188.204.98 is GREAT: 27 queries in 7.2 seconds from 27 txids with std dev 18985"

† 外部からの再帰的なDNS問い合わせに対して回答してしまう問題の検査