## page was renamed from DNS/リゾルバー/RFC2181ランキング再考/議論 ## page was renamed from DNS/毒盛/2014/NS移転通知毒/RFC2181ランキング再考/議論 ## page was renamed from DNS/毒盛/2014/NS 移転通知毒/RFC2181ランキング再考/議論 ## page was renamed from DNS/毒盛2014/NS 移転通知毒/RFC2181ランキング再考/議論 ## page was renamed from DNS/毒盛再考/NS 移転通知毒/RFC2181ランキング再考/議論 == DNS/毒盛再考/NS 移転通知毒/RFC2181ランキング再考/議論 == {{{ * Additional information from an authoritative answer, Data from the authority section of a non-authoritative answer, Additional information from non-authoritative answers. }}} 以下の二つは最低ランクとして記述されている。(これが間違いのもとだが) 1) 権威ある返事の付加情報、  (注: glue ) 2) 権威のない返事のauthority節中のデータ、 権威のない返事の付加情報 これらより優先度が高いのは、 (置き換えてはいけないもの) A) 権威ある返事の answer節中にある権威あるデータ、  (直接の問合せの返答) そして、問題の「移転」かも知れないレコード B) 権威ある返事の authority節中にあるデータ、 A が B より優先されることは明記されている。 == 毒盛できそうな動作 == 1. 上位から委譲された「権威のない返事中のAuthority Section」をキャッシュしている。 (delegation 情報) Unbound のようにこの delegation を使って、 NS を問合せなおすなら、移転毒は入らない。 2. NS を問い合わせることなく、 A などを問い合わせるキャッシュサーバであれば、   本来はNXDOMAIN返答が返るような攻撃をして、 Answer + Authority として移転毒が入れられそう。 以上のことはすでに考察済みかもしれないが、資料が見当たらないので、念のために書いておくものである。 -- ToshinoriMaeno <> == 結論 == RFCに「根本原因」があるために「移転毒」が入れられるという主張は間違いだと考える。  実装の欠陥である。 unbound の対応 [[DNS/unbound/harden-referral-path]] がよい。 -- ToshinoriMaeno <>