Google Public DNSがキャッシュ汚染攻撃に対抗するアプローチ

ドメイン名システム（DNS）は、ドメイン名をIPアドレスに翻訳し、デバイスがインターネット上で通信できるようにします。 DNSは元々、セキュリティ対策が施されていなかったため、キャッシュ汚染攻撃のような攻撃に対して脆弱でした。この攻撃では、攻撃者が応答を偽装し、ユーザーをリダイレクトします。 Google Public DNSは、RFC 5452で述べられたソースポートとクエリーIDのランダム化を含む、キャッシュ汚染を緩和するためのさまざまなテクニックを採用しています。 また、権威的なサーバーでのサポートが限られているにもかかわらず、DNS Cookiesも実装しました。 2008年の草稿で提案されたクエリー名のケースランダム化は、効果があり、Google Public DNSで既定で実装されており、UDPトラフィックの90%以上をカバーしています。 Google Public DNSは、権威的なサーバーとの暗号化された通信のためにDNS-over-TLS（ADoT）も実装しました。これにより、セキュリティとプライバシが提供されます。 これらの対策を実装することで、Google Public DNSは、安全かつ信頼できるDNS解決サービスを提供することを目指しています。 DNSサーバーオペレーターは、セキュリティメカニズムを複数サポートし、DNSセキュリティ全体を向上させることを奨励します。 Google Public DNSは、DNSコミュニティーで積極的に活動し、セキュリティ標準を向上させることを目指しています。 技術的な詳細については、DNS-OARC 38と40でのプレゼンテーションを参照してください。