1. DNS/毒盛/対策/NSがキャッシュにない場合

Kaminsky-Mueller流の攻撃：

• NSレコードを持たないドメイン名に対して、委譲・委任が行われているかのように偽返答を返す攻撃

../NXDOMAIN返答活用による不在情報を利用して毒見を行う。

• 先行するNXDomain返答で、多くのゾーンカット不在が分かる。

通過したNSは問い合わせなおす。nonce, 0x20, TCPを使うとなおよい。

簡単かつ、確実な方法である。

-- ToshinoriMaeno 2016-04-06 16:24:13

NXDOMAINではなくてNoData(NOError)の場合でも同様だ。

• qname minimisationを採用していれば、co.jpなどはこれで毒見できる。

2. qname minimisation

Knot resolverで使われているqname minimisation policyであれば、

• 多くのNS毒は検出可能である。DNS/qname-minimisation/毒盛対策 現状の実装では検出できないケースもある。（あえて、書かない）

3. 別件

Answer Sectionが空でない場合には、Answer Sectionだけあったことにする。