DNS/毒盛再考/多世代ゾーン同居/検討について、ここに記述してください。
1. 子孫側NSがキャッシュされやすいケース
NSレコードが問合せされることはないとして、
- 委譲返答が返ることもないとしたら、残るは正規の返答におまけでついてくるケースです。
存在する名前に対する問合せに対しての返答で、 authority section に付けられてくるNSレコードを受け取るのであれば、比較的安全かもしれません。
- この返答がキャッシュされれば、つぎからの問合せはこのNSに対して送られます。
でも、存在しない名前に対しての偽返答でも同様の返答(偽NSつき)をすることは可能なので、 authority section (NS) を受け入れること自体に危険性がともないます。
単に受け入れるのではなく、確認のための問合せなどを併用すべき状況だと言えます。
-- ToshinoriMaeno 2014-09-19 03:08:36
2. 実際の例
%dnsq ns cure.ne.jp a.dns.jp
2 cure.ne.jp: 100 bytes, 1+0+2+2 records, response, noerror query: 2 cure.ne.jp authority: cure.ne.jp 86400 NS ns1.dns.ne.jp authority: cure.ne.jp 86400 NS ns2.dns.ne.jp additional: ns1.dns.ne.jp 86400 A 210.188.224.9 additional: ns2.dns.ne.jp 86400 A 210.224.172.13
%dnsq ns cure.ne.jp ns1.dns.ne.jp
2 cure.ne.jp: 68 bytes, 1+2+0+0 records, response, authoritative, noerror query: 2 cure.ne.jp answer: cure.ne.jp 3600 NS ns2.dns.ne.jp answer: cure.ne.jp 3600 NS ns1.dns.ne.jp
%dnsq ns www.cure.ne.jp ns1.dns.ne.jp
2 www.cure.ne.jp: 72 bytes, 1+2+0+0 records, response, authoritative, noerror query: 2 www.cure.ne.jp answer: www.cure.ne.jp 3600 NS ns1.dns.ne.jp answer: www.cure.ne.jp 3600 NS ns2.dns.ne.jp
%dnsq a www.cure.ne.jp ns1.dns.ne.jp
1 www.cure.ne.jp: 88 bytes, 1+1+2+0 records, response, authoritative, noerror query: 1 www.cure.ne.jp answer: www.cure.ne.jp 3600 A 219.94.129.99 authority: www.cure.ne.jp 3600 NS ns2.dns.ne.jp authority: www.cure.ne.jp 3600 NS ns1.dns.ne.jp