1. DNS/毒盛/2017
- NXDOMAINなどの否定返答が先行するNS毒盛はゾーン不在情報を推論すれば防御できる。
1.1. 2017
CNAME注入による毒盛が可能であることが分かった。(BINDなど)
- CNAMEに付随するanswer section中のレコードでも毒は入りそう。(in-bailiwick検査では不十分)
さらに、NXDOMAIN返答毒によるDoS攻撃が可能な実装も見つかった。(BIND 9.11.*)
- negative caching TTLが長いのは毒が長続きするおそれがある。
-- ToshinoriMaeno 2017-11-01 10:46:35