MoinQ:

1. DNS/毒盛/対策/CNAME毒対策


DNS/毒盛/CNAME/防御

CNAME毒盛の試みは先行するNoData返答を活用すれば、簡単に防御できるので、 恐れる必要はない。

問題はそういう実装がまだないことだ。w

-- ToshinoriMaeno 2016-07-20 13:16:48

Kaminsky流攻撃(多段CNAME返答)だと、Answer Section 中のqnameに一致するレコードだけを 受け取るくらいしか対策を思いつかない。(これなら、実害は小さいはず)

-- ToshinoriMaeno 2016-07-21 08:35:32