<> ---- == DNS/毒盛/対策/NSがキャッシュにない場合 == Kaminsky-Mueller流の攻撃： 　NSレコードを持たないドメイン名に対して、委譲・委任が行われているかのように偽返答を返す攻撃 [[../NXDOMAIN返答活用]]による不在情報を利用して毒見を行う。 　先行するNXDomain返答で、多くのゾーンカット不在が分かる。 {{{ 通過したNSは問い合わせなおす。nonce, 0x20, TCPを使うとなおよい。 }}} 簡単かつ、確実な方法である。 -- ToshinoriMaeno <> NXDOMAINではなくてNoData(NOError)の場合でも同様だ。 　qname minimisationを採用していれば、co.jpなどはこれで毒見できる。 == qname minimisation == Knot resolverで使われているqname minimisation policyであれば、 　多くのNS毒は検出可能である。[[DNS/qname-minimisation/毒盛対策]] 　現状の実装では検出できないケースもある。（あえて、書かない） == 別件 == Answer Sectionが空でない場合には、Answer Sectionだけあったことにする。 <>