1. DNS/NXDOMAIN/実装
../ゾーンサーバ でNXDomain返答を返す条件を簡単に判定するには、 ゾーンデータの持ち方に工夫がいる。 DNS/返答/NoData返答 をする方が簡単だ。
DNS/返答/NXDOMAIN DNS/返答/NXDOMAIN/議論
../リゾルバーでの扱い: Kaminsky流攻撃では本来のゾーンサーバからはNXDOMAIN返答が返ってくるだろう。
ほとんどのリゾルバーはこの返事を毒排除には使っていない。DNS/返答/NXDOMAIN/fujiwara
逆にNXDOMAIN返答にNSレコードを付けて返事をするとどうなるか。(受け入れたら、毒を喰らうことになる)
2. dnscache(djbdns)
NXDOMAIN返答は問い合わせた名前に対して、レコードがないことを記録している。
- 問い合わせがあったときにはNXDOMAINを返す。
3. Knot resolver
4. BIND
5. unbound
-- ToshinoriMaeno 2016-03-22 07:33:59