1. DNS/毒盛/防衛


1.1. 基本対策

リゾルバーはTCPだけを使うこと。

-- ToshinoriMaeno 2016-10-09 00:14:27

1.2. UDPなら

UDPを使う場合にはしっかりした対策をほどこすこと。

1.2.1. NS毒

NS毒は簡単に防衛できる。:-)

  1. tss「移転インジェクション」は「おまけSection」を捨てるだけ。
    1. Mueller型(delegation)毒はNXDomain情報を利用すると安価に対策できる。

(あるいはqname minimisation)

1.2.2. CNAME毒

簡単に見分けられる。(NXdomain, NoName 情報を利用すれば)

なにか見落としているものがないか。

1.3. DNSSEC

中間者攻撃を排除したいなら、暗号化通信を使う方がよい。

-- ToshinoriMaeno 2017-06-18 05:14:03

MoinQ: DNS/毒盛/対策/防衛 (last edited 2021-05-02 10:38:22 by ToshinoriMaeno)