1. qname-minimisation


/RIPE Measure qmin yourself

https://www.sidnlabs.nl/en/news-and-blogs/taking-another-look-at-query-name-minimization-in-the-dns

1.1. RFC

S. Bortzmeyer: DNS Query Name Minimisation to Improve Privacy

QNAME minimisation is legal, since the original DNS RFC do not mandate sending the full QNAME. 

/possible-issues

watch-www/japanweb.ne.jp のような設定?は問題が起きる。-- ToshinoriMaeno 2017-03-15 00:35:42

DNS/RFC/8020 NXDOMAIN: There Really Is Nothing Underneath

/CNAME返答との関連で、注意が必要か。

DNS Query Privacy

By Geoff Huston on 12 Aug 2019 https://blog.apnic.net/2019/08/12/dns-query-privacy/

https://okuranagaimo.blogspot.com/2019/08/dns.html (日本語訳)

privacy保護よりも、/毒盛対策としての価値を認めたい。

Shumon Huque: https://indico.dns-oarc.net/event/21/contribution/9/material/slides/0.pdf Query-name minimization and authoritative DNS server behavior Venue: DNS-OARC, May 9th 2015, Amsterdam, NL

1.2. 実装

Knot resolverのソースを読んでいる。(後述)

/unboundでも使えるらしい。

1.3. NS query

NS queryに対する 返事がおかしいサーバー博物館

broken middleboxes

Some broken name servers do not react properly to qtype=NS requests.

For instance, some authoritative name servers embedded in load balancers 
  reply properly to A queries but send REFUSED to NS queries.
This behaviour is a protocol violation, and there is no need to stop improving 
  the DNS because of such behaviour.

Aは答えるのに、NSにはREFUSEDを返すload balancerがある。

NSを問い合わせているのに、Aを答えてくるサーバもある。(あきれる)

Knot resolverがおもしろい。(実装、試行中のようだ。)/検索例

Will this algorithm will be harder to deploy because of middleboxes
that might trap NS queries as unexpected, or 
broken authority servers that don’t respond correctly to explicit NS queries?

watch-www/japanweb.ne.jp を検索するとなにが起きるだろう。-- ToshinoriMaeno 2016-10-12 00:22:04

1.4. A query

zone cutの存在を検知することが目的なので、NSを問い合わせる必要はない。

1.5. アルゴリズム私案

/maeno /refused返答

1.6. NSなし中間ノードをキャッシュ

NSを持たない中間ノード(emptyではないものもある)をキャッシュして、NS問い合わせをしない。

co.jpゾーンが存在しないことは下位のランダムドメインqueryに対するNXDOMAIN返答からも分かる。

この動作はqname minimisationでなくとも使える。

cname, 親子同居などがからむと判定が困難な場合もある。

-- ToshinoriMaeno 2015-11-29 01:33:04

http://datatracker.ietf.org/doc/draft-ietf-dnsop-qname-minimisation/

1.7. negative cachingとの関係

co.jpなどのNSレコードを持たないノードに対する返答は毒見に利用できる。 /negative-caching

1.8. 毒盛のしやすさ

悪化することはなさそうだが、nonceを付けて問い合わせることを禁止することがないことを願う。 -- ToshinoriMaeno 2017-01-13 23:13:06

NS毒は入れにくくなると考えているが、証明はまだできていない。-- ToshinoriMaeno 2017-03-24 22:00:15

構成と実装次第のようだ。/kresd

1.9. Knot DNS

/検索例2

https://lists.nic.cz/pipermail/knot-dns-users/2015-September/000701.html

https://lists.nic.cz/pipermail/knot-dns-users/2015-September/000702.html

https://twitter.com/oerdnj/status/720556845493002240?lang=ja

MoinQ: DNS/qname-minimisation (last edited 2024-10-20 03:33:09 by ToshinoriMaeno)