DNS/毒盛/NS毒盛/対策について、ここに記述してください。
| /unbound /zone cutsの非存在 /ゾーン非存在 |
Contents
1. 2019
NSレコードはいろいろなところに現れる。
リゾルバーが受け取ってもいいものは、以下のふたつだけだ。
- delegation NS (きちんと確認が必要)
- Nonce prepend, TCP 再問い合わせなどで対策
- NS queryに対する返答NS
これら以外のものを受け入れると毒盛の恐れがある。
2. delegation
query minimisationに対する返答
- NSではなくて、Aを問い合わせることの問題(unbound)
queryを節約したつもりなのだろうが。/unbound
先行するNXDOMAIN返答がなければ、比較的安全か。
3. NS answer
4. NXDOMAIN 返答による予防
-- ToshinoriMaeno 2019-01-02 01:53:20