1. TLD/net/gtld-servers.net
- rootゾーンをみると、com/netゾーンは*.gtld-servers.netにdelegateされている。
- netに関してはglueが付いている。comについているのは捨てられるべきadditionalである。
- \*.gtld-servers.netの権威あるAレコードを得るにはgtld-servers.net (ゾーンのサーバー)に
- 問い合わせる必要があるが、gtldゾーンは*.nstld.comにdelegateされている。 この返答についてくるのはglueではない。捨てられるべき情報である。(続く)
- nstld\.comゾーンは(当然ながら)comゾーンからdelegateされているはずなのだが、
- comゾーンに権威のあるサーバーのアドレスは確実ではない。(rootが返すglueだけ)
結論: com/net 下のドメインに関しては
- glueではないadditional section内のA/AAAAレコードを信用しないという立場では名前解決できなくなる。
現状のリゾルバーはこうなってはないのだろう。 (com/netゾーンの設定を変えるだけでは問題は解決しない。)
2. 現状
gtld-servers.netゾーンを持っているのはnstld.com下のホストであり、
このホストのAレコードは信用できる形では取り出せないからである。-- ToshinoriMaeno 2018-03-17 13:00:54
3. 改善策
gtld-servers.netのNSをgtld-servers.net下を指すように戻す。(以前はそうなっていた)
nstld.com下に置いたのは重大なミスである。-- ToshinoriMaeno 2018-03-16 15:57:36
4. 説明
gtld-servers.netについて、netゾーンのNSである*.gtld-servers.netに問い合わせると、 NSレコードが av[1-4].nstld.comを指すという返事が返る。
/new 最近変更されたらしい。-- ToshinoriMaeno 2016-01-17 10:04:16
- 返答中のadditionl section は捨てるべきものだ。(net, comが同居しているという情報を利用するのでなければ。)
/graph おもしろいものを見た。-- ToshinoriMaeno 2016-01-19 02:44:30
2016年1月13日に更新されたようだ。
過去にあった話 https://lists.dns-oarc.net/pipermail/dns-operations/2010-January/004838.html
5. net NS
root-server はこういう。
net NS [a-m].gtld-servers.net m.gtld-servers.nt A 192.55.83.30
- このAレコードはglueであるので、ひとまず受け入れる。
net NS のひとつである192.55.83.30に改めてnet NS を問い合わせる。
でも、返答は似たようなものだ。(additionalは余計なので捨てる)/dig-log
だが、ここで m.gtld-servers.net A をといあわせると、こう答える。
A レコードに権威はないと。nstld.comに問い合わせてくれ。
%dnsq a m.gtld-servers.net 192.55.83.30
1 m.gtld-servers.net: 293 bytes, 1+0+4+8 records, response, noerror query: 1 m.gtld-servers.net authority: gtld-servers.net 172800 NS av1.nstld.com authority: gtld-servers.net 172800 NS av2.nstld.com authority: gtld-servers.net 172800 NS av3.nstld.com authority: gtld-servers.net 172800 NS av4.nstld.com additional: av1.nstld.com 172800 A 192.42.177.30 additional: av2.nstld.com 172800 A 192.42.178.30 additional: av3.nstld.com 172800 A 192.82.133.30 additional: av4.nstld.com 172800 A 192.82.134.30
でも、ここのadditionalは危ないので、受け入れない。
- av*.nstld.com のAレコードは別途求めなくてはならない。
6. 古くなった情報
以前の設定であれば、問題にはならなかったのだが。 --> /new
TLD/net ゾーンの NS は gtld-servers.net ゾーン(子)内にある。 TLD/com もだ。
- gtld-servers.net ゾーンの NS は自ゾーン内にあるが、 net ゾーン用のNSとは別らしい。
-- ToshinoriMaeno 2014-05-22 15:47:13
%dnsq a a.gtld-servers.net a.gtld-servers.net
1 a.gtld-servers.net: 356 bytes, 1+0+8+10 records, response, noerror query: 1 a.gtld-servers.net authority: gtld-servers.net 172800 NS a2.gtld-servers.net authority: gtld-servers.net 172800 NS c2.gtld-servers.net authority: gtld-servers.net 172800 NS d2.gtld-servers.net authority: gtld-servers.net 172800 NS e2.gtld-servers.net authority: gtld-servers.net 172800 NS f2.gtld-servers.net authority: gtld-servers.net 172800 NS g2.gtld-servers.net authority: gtld-servers.net 172800 NS h2.gtld-servers.net authority: gtld-servers.net 172800 NS l2.gtld-servers.net additional: a2.gtld-servers.net 172800 A 192.5.6.31 additional: a2.gtld-servers.net 172800 28 \040\001\005\003\250>\000\000\000\000\000\000\000\002\0001 additional: c2.gtld-servers.net 172800 A 192.26.92.31 additional: c2.gtld-servers.net 172800 28 \040\001\005\003\203\353\000\000\000\000\000\000\000\002\0001 additional: d2.gtld-servers.net 172800 A 192.31.80.31 additional: e2.gtld-servers.net 172800 A 192.12.94.31 additional: f2.gtld-servers.net 172800 A 192.35.51.31 additional: g2.gtld-servers.net 172800 A 192.42.93.31 additional: h2.gtld-servers.net 172800 A 192.54.112.31 additional: l2.gtld-servers.net 172800 A 192.41.162.31
$ dig ns zzzxxxx123.gtld-servers.net @b.gtld-servers.net
; <<>> DiG 9.8.1-P1 <<>> ns zzzxxxx123.gtld-servers.net @b.gtld-servers.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39575 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 8, ADDITIONAL: 10 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;zzzxxxx123.gtld-servers.net. IN NS ;; AUTHORITY SECTION: gtld-servers.net. 172800 IN NS a2.gtld-servers.net. gtld-servers.net. 172800 IN NS c2.gtld-servers.net. gtld-servers.net. 172800 IN NS d2.gtld-servers.net. gtld-servers.net. 172800 IN NS e2.gtld-servers.net. gtld-servers.net. 172800 IN NS f2.gtld-servers.net. gtld-servers.net. 172800 IN NS g2.gtld-servers.net. gtld-servers.net. 172800 IN NS h2.gtld-servers.net. gtld-servers.net. 172800 IN NS l2.gtld-servers.net. ;; ADDITIONAL SECTION: a2.gtld-servers.net. 172800 IN A 192.5.6.31 a2.gtld-servers.net. 172800 IN AAAA 2001:503:a83e::2:31 c2.gtld-servers.net. 172800 IN A 192.26.92.31 c2.gtld-servers.net. 172800 IN AAAA 2001:503:83eb::2:31 d2.gtld-servers.net. 172800 IN A 192.31.80.31 e2.gtld-servers.net. 172800 IN A 192.12.94.31 f2.gtld-servers.net. 172800 IN A 192.35.51.31 g2.gtld-servers.net. 172800 IN A 192.42.93.31 h2.gtld-servers.net. 172800 IN A 192.54.112.31 l2.gtld-servers.net. 172800 IN A 192.41.162.31 ;; Query time: 138 msec ;; SERVER: 192.33.14.30#53(192.33.14.30) ;; WHEN: Sun Mar 30 20:35:57 2014 ;; MSG SIZE rcvd: 365
7. 攻撃に使えるか
委譲インジェクションではない。 -- ToshinoriMaeno 2014-05-22 15:47:13
$ dig ns zzzxxxx123.gtld-servers.net @a2.gtld-servers.net
; <<>> DiG 9.8.1-P1 <<>> ns zzzxxxx123.gtld-servers.net @a2.gtld-servers.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11482 ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;zzzxxxx123.gtld-servers.net. IN NS ;; AUTHORITY SECTION: gtld-servers.net. 86400 IN SOA A2.NSTLD.COM. nstld.verisign-grs.COM. 2010113000 3600 900 1209600 86400 ;; Query time: 235 msec ;; SERVER: 192.5.6.31#53(192.5.6.31) ;; WHEN: Sun Mar 30 20:40:38 2014 ;; MSG SIZE rcvd: 112