## page was renamed from DNS/毒盛/防衛 = DNS/毒盛/防衛 = <> ---- <> == 基本対策 == リゾルバーはTCPだけを使うこと。  TCP対応していないゾーンサーバしか用意していないゾーンにはアクセスしない。w -- ToshinoriMaeno <> == UDPなら == UDPを使う場合にはしっかりした対策をほどこすこと。 === NS毒 === NS毒は簡単に防衛できる。:-)  1. tss「移転インジェクション」は「おまけSection」を捨てるだけ。 2. Mueller型(delegation)毒はNXDomain情報を利用すると安価に対策できる。 (あるいはqname minimisation) === CNAME毒 === 簡単に見分けられる。(NXdomain, NoName 情報を利用すれば) あるいはキャッシュ内の整合性の検査とかも。 なにか見落としているものがないか。 == DNSSEC == 中間者攻撃を排除したいなら、暗号化通信を使う方がよい。  DNSSECでは資源レコードの保護にしか役にたたない。(手間がかかりすぎ) -- ToshinoriMaeno <>