1. qname-minimisation
/CNAME返答 /RFC /RIPE /broken_CDN /maeno /negative-caching /possible-issues /refused返答 /unbound /検索例 /検索例2 /毒盛対策 |
Contents
/RIPE Measure qmin yourself
https://www.sidnlabs.nl/en/news-and-blogs/taking-another-look-at-query-name-minimization-in-the-dns
1.1. RFC
S. Bortzmeyer: DNS Query Name Minimisation to Improve Privacy
Category: Experimental https://tools.ietf.org/html/rfc7816
QNAME minimisation is legal, since the original DNS RFC do not mandate sending the full QNAME.
watch-www/japanweb.ne.jp のような設定?は問題が起きる。-- ToshinoriMaeno 2017-03-15 00:35:42
DNS/RFC/8020 NXDOMAIN: There Really Is Nothing Underneath
/CNAME返答との関連で、注意が必要か。
DNS Query Privacy
By Geoff Huston on 12 Aug 2019 https://blog.apnic.net/2019/08/12/dns-query-privacy/
https://okuranagaimo.blogspot.com/2019/08/dns.html (日本語訳)
privacy保護よりも、/毒盛対策としての価値を認めたい。
Shumon Huque: https://indico.dns-oarc.net/event/21/contribution/9/material/slides/0.pdf Query-name minimization and authoritative DNS server behavior Venue: DNS-OARC, May 9th 2015, Amsterdam, NL
1.2. 実装
Knot resolverのソースを読んでいる。(後述)
/unboundでも使えるらしい。
1.3. NS query
NS queryに対する 返事がおかしいサーバー博物館
broken middleboxes
Some broken name servers do not react properly to qtype=NS requests. For instance, some authoritative name servers embedded in load balancers reply properly to A queries but send REFUSED to NS queries. This behaviour is a protocol violation, and there is no need to stop improving the DNS because of such behaviour.
Aは答えるのに、NSにはREFUSEDを返すload balancerがある。
NSを問い合わせているのに、Aを答えてくるサーバもある。(あきれる)
Knot resolverがおもしろい。(実装、試行中のようだ。)/検索例
Will this algorithm will be harder to deploy because of middleboxes that might trap NS queries as unexpected, or broken authority servers that don’t respond correctly to explicit NS queries?
watch-www/japanweb.ne.jp を検索するとなにが起きるだろう。-- ToshinoriMaeno 2016-10-12 00:22:04
1.4. A query
zone cutの存在を検知することが目的なので、NSを問い合わせる必要はない。
Unboundは Aを問い合わせる。-- ToshinoriMaeno 2020-08-18 02:49:19
1.5. アルゴリズム私案
1.6. NSなし中間ノードをキャッシュ
NSを持たない中間ノード(emptyではないものもある)をキャッシュして、NS問い合わせをしない。
- co.jpなどのJP ccTLDによく見られる。
co.jpゾーンが存在しないことは下位のランダムドメインqueryに対するNXDOMAIN返答からも分かる。
co.jp NS が返ってきたら、まず疑ってかかるのがよい。-- ToshinoriMaeno 2016-03-21 15:18:57
この動作はqname minimisationでなくとも使える。
cname, 親子同居などがからむと判定が困難な場合もある。
- もともとのゾーンサーバがどういう返事をすべきなのかも、規定されているとは限らない。
-- ToshinoriMaeno 2015-11-29 01:33:04
http://datatracker.ietf.org/doc/draft-ietf-dnsop-qname-minimisation/
- draft-ietf-dnsop-qname-minimisation-09
1.7. negative cachingとの関係
co.jpなどのNSレコードを持たないノードに対する返答は毒見に利用できる。 /negative-caching
1.8. 毒盛のしやすさ
悪化することはなさそうだが、nonceを付けて問い合わせることを禁止することがないことを願う。 -- ToshinoriMaeno 2017-01-13 23:13:06
NS毒は入れにくくなると考えているが、証明はまだできていない。-- ToshinoriMaeno 2017-03-24 22:00:15
- 親子ゾーンが同居していても、脆弱にはならないのでは。
構成と実装次第のようだ。/kresd
1.9. Knot DNS
https://lists.nic.cz/pipermail/knot-dns-users/2015-September/000701.html
https://lists.nic.cz/pipermail/knot-dns-users/2015-September/000702.html
https://twitter.com/oerdnj/status/720556845493002240?lang=ja
- .ns.nic.cz is anycasted and runs different software at each node. Try master.dns.rocks for latest @KnotDNS
- master.dns.rocks