巷で話題になっているDNSキャッシュポイゾニング。そもそもはDNSの仕様の問題なので根本的解決はできないのだが、被害にあう可能性を低減する対策を自分のbindに施した。
・DNSパケットの中に含まれる識別IDのランダム性を高める
-> bindのバージョンアップ
・ソースポートのランダム化を行う
-> named.confの query-source の port 53 を port * に変更
設定ミスをしていないかテストサイトで確認。
Source Port Randomness、Transaction ID Randomness ともにGREATと表示され、設定が反映されていることを確認できた。
No commentsFreeBSDを5.1から5.5にアップデートしたのだが、そのついでにbindを最新の9.3.4にアップした。するとスタートアップスクリプ ト /etc/rc.d/named を実行してもエラーになりbindが起動しない…. そこでいろいろ調べてみたところ、現在のスタートアップスクリプトではbindはchrootして起動するように記述されていることに気づいた。
そこで設定周りを次のように変更。
/etc/namedb/ 配下の設定ファイルを /var/named/etc/namedb に移動。
/etc/namedbを削除。
そして起動すると無事動いた。設定ファイルは /var/named/etc/namedb/named.confにあり、/etc/namedb はシンボリックリンクになっている。
/etc/namedb -> /var/named/etc/namedb