1. DNS/実装/KnotDNSresolver/fix
kresd/fix は日本語が不自由なひと向けにしよう。
config: mode('strict') で指定できるようになった。
- referral NSレコードに付随するAdditional Sectionを受け入れるための判定条件を決めている。
- in-bailiwickの解釈が違っているようだ。
2. 基本線
zone cutに付随する情報はzone cutキャッシュにのみ保存する。
- zone cutの存在はpktcacheにおく。
Answer返答でえたものだけをrrcacheに保存する。(返答にも利用する)
3. 毒盛対策
Kaminksy手法によるNS毒盛対策
3.1. tss 移転インジェクション
- Answerあり返答中のAuthority/Additionalを無視するための追加修正:
rrcache.c などにある stash_* を無効にする。kresd/fix 参照
3.2. Mueller攻撃
- 偽装委譲(委任)返答の排除
- 先行するNXDOMAIN返答などを利用して、NSレコードの不存在を保持しておき、毒見に使う。
- 利用できないケースも存在するが、属性型JPドメイン名への毒の排除には効果がある。
-- ToshinoriMaeno 2016-04-21 03:37:35