1. DNS/実装/リゾルバー計画/response

DNS/実装/python/dnslib/リゾルバー ../data-structure

../query

内部処理するドメインについての返答生成も含む。

response生成と関連データ構造の更新とがある。

2. response 処理

/respense

毒盛対策を中心に考える。特にゾーンサーバからの不正なデータを除去する。

2.1. Answer Section

query名以外のownerをもつanswer recordは捨てる。

2.1.1. CNAME

in-baliwick検査では不十分である。(毒の場合)

(重要)CNAMEレコードのownerは他タイプのレコードを持てない。

2.2. Authority Setion

Answer Sectionが空でない場合のAuthority/Additional Sectionは捨てる。

NXDomain返答中のSOAの扱いは今後、考慮する。

2.3. NoData 返答

Kaminsky流攻撃ではNXDomain返答しか返らないわけではない。

2.3.1. negative response

SOA cuts information (Maeno)

2.4. delegation

NS毒の排除

3. cache overwrite

RFC2181にあるような判断を避けるための原則

特に(権威のない)delegation返答はキャッシュしないというのが大事だと思う。