DNS/毒盛/歴史/警告の歴史について、ここに記述してください。
https://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html
Kaminskyの警告あるいはDJBの実装時にリゾルバーの脆弱性をきちんと洗いだすことしなかった。
- port random化などの膏薬の上貼り、あるいはDNSSECに逃げた。
きちんと反省しなかったのがいつまでも傷として残っている。ふたつだけ、書いておく。
- 一番はNS毒だ。これはキャッシュの上書きをしないことで根元を絶つことができる。
- delegationを検出したら、ゾーンの存在確認までやってしまうのだ。
- delegation 返答の再確認も必要だ。
- delegationを検出したら、ゾーンの存在確認までやってしまうのだ。
親子ゾーンの同居問題もある。
- 否定返答中のSOAをきちんと確認すれば、存在は確認できる。
- 否定返答の形式を定義するのも残されているか。
-- ToshinoriMaeno 2018-11-21 23:14:48