4ZA-04
DNS第一フラグメント便乗攻撃の追検証と対策の検討
○太田健也,鈴木常彦(中京大)
DNSのセキュリティ拡張であるDNSSECなどにより、DNS応答のメッセージサイズは増大している。また、DNSSECにおいて対応を必須としているEDNSにより、512バイトを超える応答がUDPで扱われ、IPフラグメントが生じる可能性が高まっている。それに伴い、ShulmanらはIPフラグメントを差し替えることでキャッシュポイズニングを試みる第一フラグメント便乗攻撃の危険性を指摘した。しかし、攻撃検証コードが公開されておらず、影響の評価や対策の検討が不十分である。そのため、本研究では主要なオープンソースのリゾルバ実装において、本攻撃が可能かどうかを追検証し、影響の評価と対策の検討を行った。

footer 著作権について 倫理綱領 プライバシーポリシー セキュリティ 情報処理学会