元はDNS/1/資源レコード/NS/返答中のNS/キャッシュ内のNSレコードです。

1. キャッシュ中のNS RRSet

「あるゾーン」についてのNSレコードがキャッシュにある(ない)かについての分類

  1. キャッシュ内に当該ゾーンのNSレコードは存在しない (しかし、上位のNSは存在するはず)
  2. 上位ゾーンから受け取った委譲NSレコードセットが存在する
  3. ゾーンの(権威ある)サーバから受け取った(authority section からの)NSレコードセットが存在する
  4. ゾーンの(権威ある)サーバから受け取った answer section の NSレコードセットが存在する
    • 3、4 が区別されているかは不明。

それぞれの場合に、DNS/NSレコード/返答中のNSを受け取ることがあるか、 受け取ったら、どうすべきかを考える。

2. 毒盛の可能性

Ranking が毒盛防止には役立たないことをはっきりさせる。

受け取る返答の区別:

  1. NS返答(Answer Section): 権威サーバを知っていないとしたら、偽(不正)返答である。 (親子同居を考慮する必要がある)

以下はすべて Authority Section 内の NS レコードである。

  1. 本来の委譲(委任): (Answer Section なし); 上位のゾーンサーバからの委譲返答
  2. 委譲を確認する: (Answer あり) (オレオレ)権威をもつゾーンサーバであることを確認するために返すNS。 
  3. NS移転を示す: (Answer の有無は不明) (オレオレ)権威をもつゾーンサーバがNS移転、追加を示すために返すNS。
  4. 問い合わせ削減用: (Answer あり) ゾーンサーバが効率改善のためにおまけとして付ける。 3 と区別がつかない。
  5. 余計なお世話: (Answer なし) キャッシュ兼用サーバがキャッシュされた(権威を持たない)データ(多くは上位ゾーン)を返す。

NXDOMAINに付随するNSレコードもあるようだが、どう分類するかは未定。

2.1. 受け取ったときの対応


NS query の返答

その他のケースの分は破棄


A レコードを問い合わせたときの返答 (Authority Section のNSレコードRRSet)

Authority Section から取り入れたNSレコードはAnswer のものより優先度(rank) が低いはず。

DNS/リゾルバ/動作例

MoinQ: DNS/毒盛/キャッシュ上書き/NSレコード (last edited 2021-05-02 07:35:48 by ToshinoriMaeno)