## page was renamed from DNS/毒盛2014/偽案内攻撃/対策イメージ
## page was renamed from DNS/毒盛再考/偽案内攻撃/対策イメージ
== DNS/毒盛再考/偽案内攻撃/対策イメージ ==

www.qmail.jp のAレコードを得たいとする。
　前提： jp NS はキャッシュにあるが、 qmail.jp NSはキャッシュされていない。
     
=== 通常のリゾルバーの動作 ===
jp NS （キャッシュにある）に問い合わせる。
　返答は以下のような参照返答になる。（毒入りの可能性もある）

%dnsq a www.qmail.jp a.dns.jp
{{{
1 www.qmail.jp:
65 bytes, 1+0+1+1 records, response, noerror
query: 1 www.qmail.jp
authority: qmail.jp 86400 NS a.ns.qmail.jp
additional: a.ns.qmail.jp 86400 A 14.192.44.5
}}}

===  毒盛防衛 ===
委譲返答を得たときはそのまま受け入れると危ないので、
以下のように問合せしてみる。

%dnsq a xxxxyyyyzzz.qmail.jp a.dns.jp
{{{
1 xxxxyyyyzzz.qmail.jp:
73 bytes, 1+0+1+1 records, response, noerror
query: 1 xxxxyyyyzzz.qmail.jp
authority: qmail.jp 86400 NS a.ns.qmail.jp
additional: a.ns.qmail.jp 86400 A 14.192.44.5
}}}

最初の問合せへの返答と同じ委譲が返ってくるので、毒ではなさそうだと判断する。

-- ToshinoriMaeno <<DateTime(2015-04-08T11:40:24+0900)>>