【活用ガイド】

[English]

JVNDB-2004-000594

DNSキャッシュサーバのTCP SYN_SENT 状態によるリソース消費

概要

DNSキャッシュサーバと権威のある(Authoritative)サーバ間において以下の流れで処理が行われた際に、DNSキャッシュサーバにおいてSYN_SENT状態(タイムアウト待ち)が発生する可能性があります。(本件は、設定上の問題です)

(1) あるユーザが名前解決のため、DNSキャッシュサーバへクエリ送信
(2) DNSキャッシュサーバは、権威のあるサーバへUDPで問合せ
(3) 回答がUDPではサイズ不足の場合、権威のあるサーバはTCビットを立ててDNSキャッシュサーバへ返信
(4) DNSキャッシュサーバは、TCPに遷移して問合せ
(5) 権威のあるサーバがTCPクエリに回答しない、または、権威のあるサーバ手前で53/tcpがフィルタされている場合、DNSキャッシュサーバは SYN_SENT 状態のソケットを一定時間保持することになる。
(6) (1)-(5)の処理を短時間に多数行なう。
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 5.0 (警告) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): なし
  • 完全性への影響(I): なし
  • 可用性への影響(A): 部分的
影響を受けるシステム


(複数のベンダ)
  • (複数の製品)

上記概要記載の動作をするDNS
想定される影響

53/tcpがフィルタされている権威あるサーバ、または、TCPで回答しない権威あるサーバへ大量にTCPでの問合せをさせることで、問合せをしたDNSキャッシュサーバが SYN_SENT 状態(タイムアウト待ち)発生によるテーブル溢れを起こす可能性があります。
対策

ベンダ情報

CWEによる脆弱性タイプ一覧  CWEとは?

共通脆弱性識別子(CVE)  CVEとは?

参考情報

  1. JVN : JVN#61857DA9
  2. IPA セキュリティセンター : JVN_61857DA9
  3. NANOG : NANOG Abstract
  4. NANOG : NANOG PDF presentation
更新履歴

  • [2008年05月21日]
      掲載

公表日2004/10/20
登録日2008/05/21
最終更新日2008/05/21