1. DNS/返答/additional_section
1.1. additional_section
additional_section中の/レコードは原則としてオマケに過ぎない。DNS/minimal-responses
- referral返答における真のglueをだけが例外である。
毒の可能性があるので、受け入れには十分な検査が必要である。DNS/毒盛/AncillaryDataAttacks
- 検査をするよりも捨てる方が安全だ。検査をするためには別の問合せが必要だから。
-- ToshinoriMaeno 2019-02-14 00:19:14
1.2. owner
検査せずに受け入れるなら、ownerがin-domain (query のsuffix )のものに限るべきだ。
1.3. 毒盛手段として
- Answer Sectionが空でない返答中に現れる。(追加情報)
- Answer Sectionが空である返答中に現れる。(否定返答、委譲返答)
NoAnswer返答, Nxdomain返答
-- ToshinoriMaeno 2019-02-14 01:43:56
1.4. JP 返答
JPゾーンサーバー(BINDらしい)が返す委譲返答にはゾーン外の名前であっても、 Additional Sectionがついていることがある。(意図したものではなく、ゾーンサーバーソフトの都合だと。)
JP DNSのDNS応答におけるIPアドレス出力条件変更のお知らせ(詳細) 2010/09/30更新 https://jprs.jp/whatsnew/notice/before2011/20100712-arecord-2.html#list_5
- Sibling domain (JP下)のglueだという説があり、これはBINDの標準動作だというものだ。
- (comドメインからの返答も同様)
JP下のドメインの調査