1. ゾーンカットの非存在推定
ゾーンが存在しないしないことが推定できる情報 がキャッシュにあれば、delegation返答は毒であると疑われる。つまり、毒見に使える。
-- ToshinoriMaeno 2017-09-17 03:28:12
../CNAMEレコードの非存在推定 は簡単なのに、実装しているリゾルバーは知らない。(なぜ?)
../ゾーン非存在を示す情報の考察もやりたい。(やるやる詐欺?)
2. NXDOMAIN
まずはDNS/返答/NXDOMAINから。
- answer sectionが空で、authority sectionにSOAが存在する返答について。 answer sectionにCNAME RRがあるものは除外する。
DNS/毒盛/対策/先行するNXDomain返答 DNS/返答/NXDOMAIN/SOA
SOA情報が意味するものをよく読み取る。
- 親子ゾーンが同居しているような場合、親が子ゾーン内のレコード(の有無)を答えることがある。(実装の問題)
3. NoError
問い合わせを送ったzone cutの下にはゾーンが存在しないと推定できるなら、いいが。
- 親子ゾーンが同居しているような場合、親が子ゾーン内のレコードを答えることがある。(実装の問題)
authority sectionを受け入れる理由はまったくない。(tssの「移転インジェクション」が成立するのは実装不良)
4. 関連情報
CNAME毒盛の試みは先行するNoData返答を活用すれば、簡単に防御できる