DNS/実装/リゾルバー計画/毒盛対策について、ここに記述してください。
1. 毒検出
NXDomain/NoData 返答にあるSOAレコードを活用して、
- トラフィックの常時監視(JPRS)をせずとも、毒盛耐性をもたせることができる。
-- ToshinoriMaeno 2017-03-09 04:01:42
それでも心配であれば、Nonceを付けて、委譲を確認するのがよい。
Answerありの返答に付随するAuth, Additionalは捨てる。
- CNAME answerの場合にはquery nameに一致するものだけを受け取り、 他のanswerは捨てなければならない。
2. TTL
Ghost Domain Names 脆弱性対策のためにはTTLという相対値を用いるのではなく、
- キャッシュ保持レコードにはそれぞれ有効期限をもたせるべきである。
- そして、その期限は上位からの委譲の期限内に制限する。
-- ToshinoriMaeno 2017-03-09 04:11:48
3. glue
厳密なglueを採用することで、アクセス不能になるドメインが発生する様子を見たい。
- com/net