1. DNS/毒盛/毒入れ対策
リゾルバーはTCPを使って問い合せましょう。
2. いますぐやれることをやりましょう
3. DNSSEC 宣伝に載せられていませんか
DNSSECがDNSキャッシュ毒入れに対する根本的な対策となるためには、
すべてのドメインのDNS権威サーバがDNSSECに対応し、
あなたが使うすべてのキャッシュサーバ、リゾルバがDNSSECに対応していなければなりません。
そういう時代がすぐにやってくると思えますか。
それまでにやれることを考えましょう。 DNS/毒盛/対策
4. DNSCurve も検討してみよう
DNSCurveも毒盛対策になります。導入はDNSSECよりもずっと簡単です。(害も少ないのです。)
- でも、DNSSECと同様でDNSCurve対応のサーバが普及しないかぎり大きな効果はありません。
5. Antidotes
http://arxiv.org/pdf/1209.1482.pdf
6. DNS 改竄いうな
ドメインハイジャックという意味不明の言葉には惑わされないこと。
DNS(レコード)が改竄(かいざん)されたという記事や説明は疑ってみましょう。
- DNSの仕組みを理解していない人が書いたものが多いようです。
- 受け取ったレコードが改竄されていることは元のサーバのデータが改竄されていることを意味しません。
DNSキャッシュサーバに本来のDNSレコードではなくて偽のレコードが取り込まれているのですから、
キャッシュへの毒盛、毒の混入、汚染といいましょう。 DNS/キャッシュサーバへの毒盛-- DNS/キャッシュサーバへの毒盛/対策
元のDNSレコードが改変されているわけではなく、正しいDNSレコードを取り出せなかったのですから。