公開日:2004/10/20 最終更新日:2005/10/04

JVN#61857DA9
DNSキャッシュサーバのTCP SYN_SENT 状態によるリソース消費

概要

DNSキャッシュサーバと権威のある(Authoritative)サーバ間において以下の流れで処理が行われた際に、DNSキャッシュサーバにおいてSYN_SENT状態(タイムアウト待ち)が発生する可能性があります。(本件は、設定上の問題です)

(1) あるユーザが名前解決のため、DNSキャッシュサーバへクエリ送信
(2) DNSキャッシュサーバは、権威のあるサーバへUDPで問合せ
(3) 回答がUDPではサイズ不足の場合、権威のあるサーバはTCビットを立ててDNSキャッシュサーバへ返信
(4) DNSキャッシュサーバは、TCPに遷移して問合せ
(5) 権威のあるサーバがTCPクエリに回答しない、または、権威のあるサーバ手前で53/tcpがフィルタされている場合、DNSキャッシュサーバは SYN_SENT 状態のソケットを一定時間保持することになる。
(6) (1)-(5)の処理を短時間に多数行なう。

影響を受けるシステム

  • 上記動作をするDNS


詳細情報

想定される影響

53/tcpがフィルタされている権威あるサーバ、または、TCPで回答しない権威あるサーバへ大量にTCPでの問合せをさせることで、問合せをしたDNSキャッシュサーバが SYN_SENT 状態(タイムアウト待ち)発生によるテーブル溢れを起こす可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
マイクロソフト 該当製品無し(調査中) 2004/10/20
富士通 該当製品無し 2005/10/04 富士通 の告知ページ
日本電気 該当製品無し(調査中) 2004/10/20
日立 該当製品無し 2004/10/26

参考情報

  1. NANOG PDF presentation
    DNS Anomalies and Their Impacts on DNS Cache Servers
  2. NANOG Abstract
    DNS Anomalies and Their Impacts on DNS Cache Servers
  3. IPA 脆弱性関連情報の調査結果
    BIND query大量送信によるTCP SYN_SENT状態遷移時の サーバリソース消費に関する問題の分析結果

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia