JVNDB-2004-000594

DNSキャッシュサーバのTCP SYN_SENT 状態によるリソース消費

DNSキャッシュサーバと権威のある(Authoritative)サーバ間において以下の流れで処理が行われた際に、DNSキャッシュサーバにおいてSYN_SENT状態(タイムアウト待ち)が発生する可能性があります。(本件は、設定上の問題です)

(1) あるユーザが名前解決のため、DNSキャッシュサーバへクエリ送信
(2) DNSキャッシュサーバは、権威のあるサーバへUDPで問合せ
(3) 回答がUDPではサイズ不足の場合、権威のあるサーバはTCビットを立ててDNSキャッシュサーバへ返信
(4) DNSキャッシュサーバは、TCPに遷移して問合せ
(5) 権威のあるサーバがTCPクエリに回答しない、または、権威のあるサーバ手前で53/tcpがフィルタされている場合、DNSキャッシュサーバは SYN_SENT 状態のソケットを一定時間保持することになる。
(6) (1)-(5)の処理を短時間に多数行なう。

基本値: 5.0 (警告) [NVD値]

• 攻撃元区分: ネットワーク
• 攻撃条件の複雑さ: 低
• 攻撃前の認証要否: 不要
• 機密性への影響(C): なし
• 完全性への影響(I): なし
• 可用性への影響(A): 部分的

複数ベンダ

• 複数ベンダ の DNS キャッシュサーバ

53/tcpがフィルタされている権威あるサーバ、または、TCPで回答しない権威あるサーバへ大量にTCPでの問合せをさせることで、問合せをしたDNSキャッシュサーバが SYN_SENT 状態(タイムアウト待ち)発生によるテーブル溢れを起こす可能性があります。

1. JVN : JVN#61857DA9
2. IPA セキュリティセンター : JVN_61857DA9
3. NANOG : NANOG Abstract
4. NANOG : NANOG PDF presentation

[2008年05月21日]
  掲載