DNSSECに対応のキャッシュサーバーのアドレス

Question

現在使っているルーターのDNS参照先をGoogleの8.8.8.8、8.8.4.4に設定していたのですが、DNSキャッシュポイゾニングという攻撃手法を知り、Comodo社が提供している156.154.71.22、156.154.70.22に設定してみました。が、下記の質問スレッド（Comodoの英語フォーラムです）によるとこのDNSアドレスはDNSSECに対応していないようです。

・http://forums.comodo.com/secure-dns-help-cis/does-comodo-dns-support-dnssec-t73824.0.html

そこで、よりセキュアと言われているDNSSECのキャッシュサーバーのアドレスを設定したいのですが、DNSSECを運用しているキャッシュサーバーのアドレスを教えていただきたいです。自分なりに探してはいるのですが、今のところInfoSphere（http://www.sphere.ne.jp/dnssec/）のアドレスしか見つかっていません。出来れば複数の参照先を確保したいと思っています、よろしくお願いします。

jyufi_february · Accepted Answer

確かにDNSSECはキャッシュポイズニングを防ぐための究極的な対策ですが、DNSSEC運用しているキャッシュサーバがキャッシュポイズニング攻撃されないわけではありません。DNSSECによる保護が有効になるためには、キャッシュサーバだけでなく、権威サーバ（ドメインを運用する側）での対応が必要ですが、権威サーバ側のDNSSEC普及があまり進んでいないため、ほとんどのサイトの名前解決はDNSSECの保護が有効になっていないのが現状です。
　DNSSEC運用しているキャッシュサーバを利用することが無意味とまではいいませんが、現時点では、キャッシュポイズニングに強い構成・設定のキャッシュサーバを使うことがより重要です。

> 今のところInfoSphere（http://www.sphere.ne.jp/dnssec/）のアドレスしか見つかっていません。

InfoSphereのDNSキャッシュサーバのように、インターネット上のどこからでも利用可能なサーバは、DNSSEC運用していたとしても、キャッシュポイズニング攻撃やDoS攻撃に脆弱です（通常はそのプロバイダの加入者からのみ利用可能であるべきです）。そのようなキャッシュサーバの利用はお勧めしません。また、素性の分からない組織が運用しているDNSキャッシュサーバの利用もやめたほうがいいでしょう。そのサーバからの応答が正しいかわかりませんし、いつ勝手にサーバを止められるかわかりません。

＊　＊　＊

ご利用のプロバイダに対してDNSSEC対応のキャッシュサーバを用意するように依頼するのが一番ですが、それが難しいならば、ご自分でDNSSEC対応のDNSキャッシュサーバを運用することも可能です。おすすめのDNSSEC対応キャッシュサーバソフトは、Unbound(参照URL)です。UnboundのWindows版は、インストールするだけで、127.0.0.1 (localhost)のみから参照可能なDNSSEC有効キャッシュサーバとして起動します。お使いのPCにインストールして、PCが参照するDNSサーバのアドレスを 127.0.0.1 に手動で変更することでそのPCから利用可能になります。

このように自分でDNSキャッシュサーバを運用するのは、最もポイズニング攻撃されにくい構成です。攻撃者にとって、多数の利用者がいるプロバイダのキャッシュサーバは狙うメリットがありますが、利用者が一人しかいないDNSサーバを攻撃するのはコスト的にメリットが無いためです。

参考URL：http://www.unbound.net/download.html

DNSSECに対応のキャッシュサーバーのアドレス

確かにDNSSECはキャッシュポイズニングを防ぐための究極的な対策ですが、DNSSEC運用しているキャッシュサーバがキャッシュポイズニング攻撃されないわけではありません。

この回答への補足

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

　確かにDNSSECはキャッシュポイズニングを防ぐための究極的な対策ですが、DNSSEC運用しているキャッシュサーバがキャッシュポイズニング攻撃されないわけではありません。