| /CNAME毒 /Internet-Draft /NSがキャッシュにない場合 /NSを上書きする毒 /NS毒 /NXDOMAIN返答活用 /NoData返答活用 /SOA /SOAの活用 /barwood /jp /wijngaards /wildcard /ゾーンサーバの監視 /先行するNXDomain返答 /末永 /毒入れ対策 /肯定返答 /製品広告 /防衛 /非存在推定 |
1. DNS/毒盛/対策/NSがキャッシュにない場合
Kaminsky-Mueller流の攻撃:
- NSレコードを持たないドメイン名に対して、委譲・委任が行われているかのように偽返答を返す攻撃
../NXDOMAIN返答活用による不在情報を利用して毒見を行う。
- 先行するNXDomain返答で、多くのゾーンカット不在が分かる。
通過したNSは問い合わせなおす。nonce, 0x20, TCPを使うとなおよい。
簡単かつ、確実な方法である。
-- ToshinoriMaeno 2016-04-06 16:24:13
NXDOMAINではなくてNoData(NOError)の場合でも同様だ。
- qname minimisationを採用していれば、co.jpなどはこれで毒見できる。
2. qname minimisation
Knot resolverで使われているqname minimisation policyであれば、
多くのNS毒は検出可能である。DNS/qname-minimisation/毒盛対策 現状の実装では検出できないケースもある。(あえて、書かない)
3. 別件
Answer Sectionが空でない場合には、Answer Sectionだけあったことにする。
| /CNAME毒 /Internet-Draft /NSがキャッシュにない場合 /NSを上書きする毒 /NS毒 /NXDOMAIN返答活用 /NoData返答活用 /SOA /SOAの活用 /barwood /jp /wijngaards /wildcard /ゾーンサーバの監視 /先行するNXDomain返答 /末永 /毒入れ対策 /肯定返答 /製品広告 /防衛 /非存在推定 |