DNS機能におけるキャッシュポイズニングの脆弱性に対応するため、以下の機能追加を行った。
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU800113.html
DNS問い合わせパケットを送信する時の始点ポート番号をランダムに変化させることのできる機能を追加した。また、DNSキャッシュの使用の有無、および、キャッシュとして保存するエントリ数を設定するコマンドを追加した。
PORT ... | ポート番号、1〜65535 |
ポート番号を一つだけしか設定しなかった場合には、指定したポート番号を始点ポートとして利用する。ポート番号を範囲で指定した場合には、DNS問い合わせパケットを送信するたびに、範囲内のポート番号をランダムに利用する。
SW ... | 'on' or 'off' |
SWをonに設定した場合、DNSキャッシュを利用する。すなわち、ルーターが送信したDNS問い合わせパケットに対する上位DNSサーバーからの返答をルーター内部に保持し、次に同じ問い合わせが発生したときでも、サーバーには問い合わせず、キャッシュの内容を返す。
上位DNSサーバーから得られた返答には複数のRRレコードが含まれているが、DNSキャッシュの保持時間は、それらのRRレコードのTTLのうちもっとも短い時間になる。また、まったくRRレコードが存在しない場合には、60秒となる。
ルーター内部に保持するDNSエントリの数はdns cache max entryコマンドで設定する。
SWをoffにした場合、DNSキャッシュは利用しない。ルーターが送信したDNS問い合わせパケットに対する上位DNSサーバからの返答はルーター内部に保持せず、同じ問い合わせがあっても毎回DNSサーバーに問い合わせを行う。
NUM ... | 最大エントリ数、1〜1024 |
設定した数だけ、ルーター内部にDNSキャッシュとして上位DNSサーバーからの返答を保持できる。設定した数を超えた場合、最も参照されていないものから破棄される。
上位DNSサーバーから得られた返答には複数のRRレコードが含まれているが、DNSキャッシュの保持時間は、それらのRRレコードのTTLのうちもっとも短い時間になる。また、まったくRRレコードが存在しない場合には、60秒となる。返答が得られてから保持時間を経過したエントリは、DNSキャッシュから削除される。