1. DNS/毒盛/対策/先行するNXDomain返答
偽委譲返答によるNS毒盛の場合、 正規のゾーンサーバが機能していれば、NXDomain返答が先行しているはずなので、 ../NXDOMAIN返答活用により、毒を判別できるであろう。
-- ToshinoriMaeno 2016-07-23 09:39:30
正規のゾーンサーバを機能させないようにすることで、NXDomain返答を得にくくする。(攻撃の補助)
水責め攻撃を受けているゾーンサーバ(ドメイン)が存在している場合、 どこかのキャッシュサーバに毒盛するのが容易になっている。
水責め攻撃情報の公開が重要だと考える。
-- ToshinoriMaeno 2016-07-23 09:42:45
2. wildcard設定がある場合
Answerありの返事が返ってくることもある。
毒の送り方はNXDomainのケースと代わりはない。
- domain pathの途中にNSを持たない(キャッシュにない)ノードがあれば、NS毒が入れられる。
- キャッシュを上書きするリゾルバーに対しては、tssの「移転インジェクション」が便利だろう。
-- ToshinoriMaeno 2017-04-05 23:51:21