1. DNS/毒盛/対策/NXDOMAIN返答活用/ゾーン不在情報
2. 定義
q : query name s : 返答中のSOAレコードのowner field name c : 問い合わせたzone cut
3. 返答
query type A だったとする。 NXDOMAINあるいはNoData返答があったとする。
- Authority Sectionには一つだけSOAレコードがあるはずだ。
q <= s <= c (ドメイン名の包含関係)が成り立つ。
ゾーンの存在を考察する。
q < s = c : q はゾーンではなかった。(レコードもない。途中にゾーンはない)
q = s < c : q, s はゾーンである。(referral 返答が返るはずのケース; NoData?)
q < s < c : s はゾーンである。(referral返答が返るべきケース; qまでにゾーンはない)
2,3 のケースでreferral返答が返らないのは、
- sとcゾーンが同じサーバでサービスされているケースである。(同居)
-- ToshinoriMaeno 2016-05-14 03:21:12
例)co.jp ドメイン名については、NSについての問い合わせに対して、
NoData返答が記録されているはずなので、JPRSのいう委任インジェクションは成立しない。
-- ToshinoriMaeno 2016-05-14 06:33:03
4. co.jp
ここの情報を利用するとco.jpへの毒盛は排除できる。
5. nerima.tokyo.jp
tokyo.jp への毒盛はco.jpへの毒盛と同様に排除できる。
だが、nerima.tokyo.jpへの委譲返答はここの情報だけでは排除できない。
- tokyo.jp, nerima.tokyo.jp はともにゾーンではない中間のノードだから。
-- ToshinoriMaeno 2016-05-30 12:53:58