InternetWeek 2008 の1日目。
IPv4アドレス枯渇がメインテーマですが、DNS DAY も面白かった。
やはり今年は DNS キャッシュポイズニングがメイン。
キャッシュポイズニングの仕組みがよくわかりました。
以前からあった Kashpureff型、偽装応答型と、今年のKaminsky型を比較して、旧来手法では非常に確率が低かったのが、ほぼ100%の確率で偽キャッシュを埋め込めることになってしまったと言うことです。
今回取られた対策ではその確率を低くしているだけで、根本的には DNSSEC を入れるしかないらしい。でもこれだけ普及してしまった DNS に認証を入れるのは本当に大変そうだ。
ちなみに EDNS0 というのが初耳単語だったので、一応メモ。
RFC2671 で定められていて、多くの実装に既に入っているそうです。