1. DNS/毒盛再考/偽案内攻撃/対策イメージ
www.qmail.jp のAレコードを得たいとする。
- 前提: jp NS はキャッシュにあるが、 qmail.jp NSはキャッシュされていない。
1.1. 通常のリゾルバーの動作
jp NS (キャッシュにある)に問い合わせる。
- 返答は以下のような参照返答になる。(毒入りの可能性もある)
%dnsq a www.qmail.jp a.dns.jp
1 www.qmail.jp: 65 bytes, 1+0+1+1 records, response, noerror query: 1 www.qmail.jp authority: qmail.jp 86400 NS a.ns.qmail.jp additional: a.ns.qmail.jp 86400 A 14.192.44.5
1.2. 毒盛防衛
委譲返答を得たときはそのまま受け入れると危ないので、 以下のように問合せしてみる。
%dnsq a xxxxyyyyzzz.qmail.jp a.dns.jp
1 xxxxyyyyzzz.qmail.jp: 73 bytes, 1+0+1+1 records, response, noerror query: 1 xxxxyyyyzzz.qmail.jp authority: qmail.jp 86400 NS a.ns.qmail.jp additional: a.ns.qmail.jp 86400 A 14.192.44.5
最初の問合せへの返答と同じ委譲が返ってくるので、毒ではなさそうだと判断する。
-- ToshinoriMaeno 2015-04-08 02:40:24