1. DNS/NSレコードの上書きの害

キャッシュサーバのキャッシュにある「権威あるNSレコード」を上書きすることの問題を整理していきます。

1.1. 浸透いうな!

DNS/用語/浸透/浸透いうな! NS移転時に発生する問題が関係する。 

1.2. Ghost Domain Names

DNS/脆弱性/GhostDomainNames

上位サーバから委譲(委任、登録)を抹消されたにもかかわらず、キャッシュには残り続けるという脆弱性

1.3. 毒を喰らう

DNS/毒盛/NS毒盛 「移転インジェクション」が意味するもの。

Kaminsky型攻撃で毒入りNSを送りつけられるとコロリ

-- ToshinoriMaeno 2015-08-07 22:19:48

1.4. 対策

キャッシュの上書きをやめよ。

本当に上書きしたいのであれば、確認のための問い合せを行うべきである。

-- ToshinoriMaeno 2015-08-07 22:19:48

1.5. 委譲を示すNSの上書き

委譲情報だと分かっても、毒の可能性を考慮して、委譲元に問い合せをしなおすこと。

さらに、権威あるサーバからのNSを取り出し、キャッシュしておくこと。(Unbound ではオプション)

-- ToshinoriMaeno 2015-08-07 22:41:43