DNS/毒盛/Kaminsky手法/TTL制約回避について、ここに記述してください。
TTLの制約を受けない問い合わせはいろいろあるとKaminskyも言っていたようだ。
2008年にあった議論(namedroppers)を見ていたら、
- Aレコードだけを答えるロードバランサーという話がでていて、そういうのもあったなと、思った。
- NS毒盛攻撃が成功しそうなドメイン名だ。
-- ToshinoriMaeno 2016-03-23 14:24:52
どんな返事だろうと、ある程度の時間はキャッシュしないと危ないとVixieも言っている。
- dnscacheのようにSOAはキャッシュしないのも危ないが、「特に」危なくなるわけではなさそう。
ワイルドカード返答をするのもあぶない。
NXDOMAIN返答を活用して毒消しできだけではまだ安心はできない。
- 否定返答ではない返事におまけのNSなどで毒を盛られるかもしれない。
-- ToshinoriMaeno 2016-03-23 14:35:53