MoinQ:

1. DNS キャッシュサーバ

DNS/用語/リゾルバー

DNS/調査/キャッシュサーバ

1.1. 仕様の現状

DNS/キャッシュサーバ/動作に関しては実装任せです。 (RFC 1034 に参考程度)

BINDが事実上の規格だが、それが問題を生み出してきた。 dnscache, unbound,deadwood などのキャッシュサーバ実装が使えるようになって、 BINDだけの時代よりは多少ましになった。

キャッシュサーバで一番重要なこと: どこのゾーンサーバからデータを入手すべきかを決めること。

偽返答を受け取ってしまっても、毒盛されにくいようにすることも重要です。-- ToshinoriMaeno 2014-03-06 03:17:27

http://D/intro-dns.html DNSの動作原理

「キャッシュサーバの動作」はまともに定義されていないようだ。 こんな状態でDNSSECの署名が確認できるのか。

1.2. 脆弱

DNS/毒盛 DNS/キャッシュ毒盛/対策 は本当に実現されているのか。

http://www.ciac.org/ciac/bulletins/j-063.shtml DNS DoS Attacks (1999)

公開/共用のキャッシュサーバは毒盛されやすい。

キャッシュサーバの実装 ソースが公開されているもの DNS/実装/リゾルバー

1.3. 共用キャッシュサーバ

free public DNS servers: http://pcsupport.about.com/od/tipstricks/a/free-public-dns-servers.htm

/eaccess.ne.jp キャッシュサーバの問題 --> TCP サポートなし。

/kddi.ne.jp は OK

/so-net.ne.jp も調査した。 TCP, EDNS0 サポートあり。

ocn.ne.jp: http://www.ocn.ne.jp/info/tech/netset/ はどうか。

/sakura.ad.jp さくらもOK (TCP, EDNS0 OK)

;; Truncated, retrying in TCP mode.

/sphere.ne.jp (TCP, EDN0 OK)

1.3.1. TCP mode

/eaccess.ne.jp キャッシュサーバの問題 -- ToshinoriMaeno 2011-05-18 15:27:34

kddi: OK ;; Truncated, retrying in TCP mode.

プライマリDNS: dns01.hs.kddi.ne.jp. IPアドレス: 211.134.181.104.
セカンダリDNS: dns02.hs.kddi.ne.jp. IPアドレス: 211.134.181.105.

1.3.2. EDNS0

/kddi.ne.jp は OK

AAAAはどうなっているか。

root, TLD サーバなら、 TCPを避けたいのも分かるが、通常のドメインやキャッシュでTCPを使わない理由があるのか。

1.4. キャッシュサーバの動作の調査

yatz.qmail.jpドメインを使って、/free-publicなどを調査している。 -- ToshinoriMaeno 2011-07-25 02:13:14

/比較表

1.5. 浸透問題

移転後も旧サーバをキャッシュしつづけるキャッシュサーバがあるのか。/浸透問題

2. 毒盛される危険性

キャッシュサーバの弱点 /毒盛

Kaminskyの発見は「TTLで守られている」と思っていたことが幻想であったことを示したことである。

2.1. リンク