## page was renamed from DNS/qname-minimization
## page was copied from DNS/課題/qname-minimization
= qname-minimisation =
<<Navigation(children,1)>>

----
<<TableOfContents()>>

[[/RIPE]] Measure qmin yourself

https://www.sidnlabs.nl/en/news-and-blogs/taking-another-look-at-query-name-minimization-in-the-dns

== RFC ==

S. Bortzmeyer:
DNS Query Name Minimisation to Improve Privacy  
　Category: Experimental https://tools.ietf.org/html/rfc7816 

{{{
QNAME minimisation is legal, since the original DNS RFC do not mandate sending the full QNAME. 
}}}

[[/possible-issues]]

[[watch-www/japanweb.ne.jp]] のような設定？は問題が起きる。-- ToshinoriMaeno <<DateTime(2017-03-15T09:35:42+0900)>>

[[DNS/RFC/8020]]  NXDOMAIN: There Really Is Nothing Underneath 

[[/CNAME返答]]との関連で、注意が必要か。

DNS Query Privacy

By Geoff Huston on 12 Aug 2019
https://blog.apnic.net/2019/08/12/dns-query-privacy/

https://okuranagaimo.blogspot.com/2019/08/dns.html (日本語訳)

privacy保護よりも、[[/毒盛対策]]としての価値を認めたい。

Shumon Huque:
https://indico.dns-oarc.net/event/21/contribution/9/material/slides/0.pdf
Query-name minimization and authoritative DNS server behavior
Venue: DNS-OARC, May 9th 2015, Amsterdam, NL

== 実装 ==
Knot resolverのソースを読んでいる。（後述）

[[/unbound]]でも使えるらしい。

== NS query ==
NS queryに対する
返事がおかしいサーバー博物館

broken middleboxes
{{{
Some broken name servers do not react properly to qtype=NS requests.

For instance, some authoritative name servers embedded in load balancers 
  reply properly to A queries but send REFUSED to NS queries.
This behaviour is a protocol violation, and there is no need to stop improving 
  the DNS because of such behaviour.
}}}
Aは答えるのに、NSにはREFUSEDを返すload balancerがある。

NSを問い合わせているのに、Aを答えてくるサーバもある。(あきれる）

Knot resolverがおもしろい。（実装、試行中のようだ。）[[/検索例]]
{{{ 
Will this algorithm will be harder to deploy because of middleboxes
that might trap NS queries as unexpected, or 
broken authority servers that don’t respond correctly to explicit NS queries?
}}}

[[watch-www/japanweb.ne.jp]] を検索するとなにが起きるだろう。-- ToshinoriMaeno <<DateTime(2016-10-12T09:22:04+0900)>>

== A query ==
zone cutの存在を検知することが目的なので、NSを問い合わせる必要はない。
  Unboundは Aを問い合わせる。-- ToshinoriMaeno <<DateTime(2020-08-18T11:49:19+0900)>>

== アルゴリズム私案 ==
[[/maeno]]  [[/refused返答]]

== NSなし中間ノードをキャッシュ ==
NSを持たない中間ノード(emptyではないものもある）をキャッシュして、NS問い合わせをしない。
　co.jpなどのJP ccTLDによく見られる。

co.jpゾーンが存在しないことは下位のランダムドメインqueryに対するNXDOMAIN返答からも分かる。
  co.jp NS が返ってきたら、まず疑ってかかるのがよい。-- ToshinoriMaeno <<DateTime(2016-03-22T00:18:57+0900)>>
この動作はqname minimisationでなくとも使える。

cname, 親子同居などがからむと判定が困難な場合もある。
　もともとのゾーンサーバがどういう返事をすべきなのかも、規定されているとは限らない。

-- ToshinoriMaeno <<DateTime(2015-11-29T10:33:04+0900)>>

http://datatracker.ietf.org/doc/draft-ietf-dnsop-qname-minimisation/
  draft-ietf-dnsop-qname-minimisation-09

== negative cachingとの関係 ==
co.jpなどのNSレコードを持たないノードに対する返答は毒見に利用できる。
[[/negative-caching]]

== 毒盛のしやすさ ==
悪化することはなさそうだが、nonceを付けて問い合わせることを禁止することがないことを願う。
-- ToshinoriMaeno <<DateTime(2017-01-14T08:13:06+0900)>>

NS毒は入れにくくなると考えているが、証明はまだできていない。-- ToshinoriMaeno <<DateTime(2017-03-25T07:00:15+0900)>>
  親子ゾーンが同居していても、脆弱にはならないのでは。

構成と実装次第のようだ。[[/kresd]]

== Knot DNS ==
[[/検索例2]]

https://lists.nic.cz/pipermail/knot-dns-users/2015-September/000701.html

https://lists.nic.cz/pipermail/knot-dns-users/2015-September/000702.html

https://twitter.com/oerdnj/status/720556845493002240?lang=ja
 *.ns.nic.cz is anycasted and runs different software at each node.
 Try master.dns.rocks  for latest @KnotDNS
   master.dns.rocks