1. リゾルバー/実装

DNS/実装

DNS/実装/ゾーンサーバ

DNS/返答: DNS/1 を理解していることは前提にする。

https://github.com/semihalev/sdns /sdns

2. 問合せの送り先

qname-minimisation の有無

3. 返答の扱い

  1. 委任・委譲返答を信用するか。(毒盛対策は棚上げしたとしても)
    • harden-referral-path のような動作をどう考えるか。

4. キャッシュ

キャッシュの実装も異なる。

キャッシュの実装が振る舞いに影響するのは言うまでもない。

5. 振る舞いの違い

fingerprintとして利用できそう。-- ToshinoriMaeno 2019-05-14 09:16:24

root hints (priming)

harden-referral-path (harden-glue は当然として)

/qname-minimisation DNS/qname-minimisation DNS/リゾルバー/zone cut検出 (privacy)

port randomization

TTLの扱い(min, max) cache-ttl-max, min などがあるか。

/返答パケットの毒味 DNS/毒盛/AncillaryDataAttacks Auth/Add section RRsの扱い DNS/RFC/2181

DNS/リゾルバー/RFC2181ランキング再考

脆弱性(各種) DNS/リゾルバー/脆弱性 DNS/毒盛

6. 毒盛対策

ゾーンサーバからは常にまっとうな返答だけが返ってくると期待してはいけない。

毒入りの返答は偽返答としてもやってくる。

NS, CNAME typeには十分注意する必要がある。(現状のリゾルバーはどれも不十分)

-- ToshinoriMaeno 2016-07-28 05:15:01