1. DNS/毒盛/NS毒盛/対策/ゾーンが存在しないしないことが推定できる返答
../ゾーン非存在を示す情報の考察
まずはDNS/返答/NXDOMAINから。
- answer sectionが空で、authority sectionにSOAが存在する返答について。 answer sectionにCNAME RRがあるものは除外する。
1.1. NXDOMAIN
DNS/毒盛/対策/先行するNXDomain返答 DNS/返答/NXDOMAIN/SOA
SOA情報が意味するものをよく読み取る。
- 親子ゾーンが同居しているような場合、親が子ゾーン内のレコード(の有無)を答えることがある。(実装の問題)
1.2. NoError
問い合わせを送ったzone cutの下にはゾーンが存在しないと推定できるなら、いいが。
- 親子ゾーンが同居しているような場合、親が子ゾーン内のレコードを答えることがある。(実装の問題)
authority sectionを受け入れる理由はまったくない。(tssの「移転インジェクション」が成立するのは実装不良)
1.3. 関連情報
CNAME毒盛の試みは先行するNoData返答を活用すれば、簡単に防御できる