DNS/キャッシュサーバの動作/サーバへの問い合わせについて、ここに記述してください。
1. 毒盛を回避するための工夫
1.1. query元のポートのランダム化
DNSquery元のポートのランダム化は十分かと、qmail.jpドメインを調べました。 対象はこの8月分です。 port固定上位3件について、ホストを逆引してjp下のものをとりだしたら、 32個ありました。(8月は6000あまりのホストから問い合わせがありました。)
-- ToshinoriMaeno 2011-08-27 02:51:02
RTシリーズのDNS機能におけるキャッシュポイズニングの脆弱性について http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU800113.html
キャッシュが問い合わせに使っている/ポートを検査する:
1.2. TTL
すでにキャッシュされているものと同じ内容(RRset)のものが返事にあった場合、 キャッシュを優先する。
毒盛や浸透問題(古い情報を更新し続ける)を避けられます。
1.3. 返答内容の再確認
...
- 有効な場合もありますが、逆に悪用される危険性があるかもしれません。
-- ToshinoriMaeno 2011-08-27 02:54:48