1. DNS/毒盛/Mueller手法/防御
delegation返答の毒見には上のzone cutにNSレコードを問い合わせし直すのがよい。
- qname minimisationをきちんと実装していて、キャッシュを優先していれば、危険性は少ない。
ゾーンが存在しないしないことが推定できる返答
Muller型の攻撃では、多数のNXDOMAIN返答に対して、delegation返答が紛れ込む。
- NXDOMAIN返答にはSOAレコードが含まれていて、ゾーンカットを示している。
- このゾーンカット以外のdelegationは偽返答だと判断できる。
ここのゾーンカットを利用して、毒を排除するという実装は見かけない。
- Knot-Resolverには提案したような気もするが、返事はもらっていない。
-- ToshinoriMaeno 2019-08-25 00:35:53