1. SOAレコード
start of authority https://jprs.jp/glossary/index.php?ID=0194
- 当該ドメインに責任を持つことを宣言するレコード
- 登録サーバであるのにSOAレコードがないという返事をするサーバはコンテンツサーバの資格はない。
- 当該サーバの持ち主に断りなくサーバ名を登録されてしまっている可能性もある。
いずれにせよ、ドメインの権利者にすべての責任がある。
zone との関連 DNS/1/ゾーン https://jprs.jp/glossary/index.php?ID=0142
1.1. 出現場所
DNS/返答/delegation でRFC 1034中の言及に触れている。
- 基本は権威のあるレコードの存在(または不存在)を示す。(Answer Section内に)
DNS/RFC/2308 ネガティブキャッシング
- (否定)返答のAuthority Section にひとつだけ現れることがある。
(権威サーバは付けなければならない)
2.2 - No Data NODATA is indicated by an answer with the RCODE set to NOERROR and no relevant answers in the answer section. The authority section will contain an SOA record, or there will be no NS records there.
3 - Negative Answers from Authoritative Servers Name servers authoritative for a zone MUST include the SOA record of the zone in the authority section of the response when reporting an NXDOMAIN or indicating that no data of the requested type exists.
SOA の右辺(値)にあるMINIMUMフィールドはネガティブキャッシュのTTLとして解釈される(RFC2308)
1.2. 否定の内容
NXDOMAIN返答はquery sectionにあるquery nameにqury typeのレコードが存在しないことを示す。
だがそれだけではない。NXDOMAIN返答に責任をもつゾーンを示す。(ことがある)
- 返答に含まれるAuthority Section中のSOAレコードのラベルはNXDOMAIN返答に責任をもつゾーンを示す。
このことが指摘された文書は見たことがない。もっと注目されていいのではないだろうか。
どう使えるかは具体的な話の方が理解しやすいだろう。
Kaminskyが2008年に指摘した毒盛手法はこれにより撃退できると考えている。
-- ToshinoriMaeno 2016-03-19 01:43:40
1.3. SOA TTL
https://lists.isc.org/pipermail/bind-users/2010-August/081082.html
There's a sort-of-related BIND config item, "zero-no-soa-ttl", the
description of which states:
"When returning authoritative negative responses to SOA queries set
the TTL of the SOA record returned in the authority section to
zero. The default is yes."SOAをキャッシュしないのは危険です。
- RFC 2181 section 7.2 clarifies that this advice should be ignored.
Make SOA responses cacheable This patch allows dnscache to store the responses of "SOA" type queries in its cache. SOA responses are the only type of response unconditionally uncached. dnscache uses its internal cache to prevent certain classes of poisoning attack. Attackers may choose to send floods of SOA requests to bypass these protections.
- DNS/Cloudflare/SOA
- DNS/KnotResolver/brau.jp/soa
- DNS/KnotResolver/危ない機能/brau.jpを乗取る/brau.jpの返答/奇妙なSOA
- DNS/watchSOA/aichi.jp
- DNS/サーバ調査/SOA
- DNS/サーバ調査/SOA/BIND
- DNS/毒盛/対策/NXDOMAIN返答活用/SOAレコード
- DNS/毒盛/対策/SOA
- DNS/毒盛/対策/SOA/キャッシュ
- DNS/毒盛/対策/SOAの活用
- DNS/記録/yata.qmail.jp/DNS設定/SOA
- DNS/記録/zac.qmail.jp/キャッシュサーバ/SOA
- DNS/資源レコード/SOA
- DNS/返答/NXDOMAIN/SOA
- DNS/返答/NXDOMAIN/SOA/TTL
- DNS/返答/NXDOMAIN/SOA/cz2
- watchSOA/1.1.1.1
- watchSOA/gmoserver.jp