1. DNS/unbound/log
unbound.conf: harden-referral-path yes
- このオプションを指定すると referral にある NS (とA) をそのままでは信用せずに Answer としてキャッシュするように動作するようです。
- そうしておけば、移転(通知)毒を入れられることはなくなります。(RFC2181のランキングにしたがった動作をするのであれば。)
でも、unbound に委譲毒盛攻撃が成立することを示唆するシナリオです。 -- ToshinoriMaeno 2014-12-21 15:13:38
- 疑問は twitter で @beyonddns あてにどうぞ。
unbound 1.4.x で log level 3 を指定しています。 (harden-referral-path yes)
- キャッシュが空の状態で、"dig -t ns hpcl.titech.ac.jp " を実行した後の出力です。
/qmail.jp "dig -t ns qmail.jp" を実行したときのログ(添付)
/vv.qmail.jp 次に "dig -t ns vv.qmail.jp" を実行したときのログ
/nonexist.qmail.jp] 存在しない名前の問合せログ
/ac.qmail.jp-2 ac.qmail.jp の NS を ns.reflection.co.jp に向けました。
-- ToshinoriMaeno 2014-12-22 00:20:49