1. kresd/毒盛対策

DNS/毒盛/対策

DNS/1/security/cookies はサポート済み（option)

• サーバー側の対応が必要で、BIND 9.12 を待っている状態だ。

1.1. NS 毒

tssの「移転インジェクション」に対する対策はされている。(Authority Sectionの排除）

1.2. delegation毒

Mueller手法による攻撃対策はされていない。(部分的には毒盛しにくくなっている。）

• qname minimisationは部分的に実装されている。

zone cut 直下のdelegationは毒判定できる。(NS queryの返答を除く）

• NXDOMAIN返答を利用する方法は現状のキャッシュの構造では簡単ではなさそう。

• DNSSECよりは十分簡単なのだが。ｗ

QUERY_NO_MINIMIZE時にはTCPを使い、毒入れしにくくしてみた。../tcp

属性型JPドメインについては、co.jpの下ではno_minimize設定になり、負荷は少し増える。 -- ToshinoriMaeno 2017-06-16 07:29:22

1.2.1. 考察

UDP QUERY_NO_MINIMIZE時にdelegation返答が得られた場合には

• minimisation onにして、NS(zone cut)を問い合わせなおすのがいい。

と思っているが、改造方法がまだわからない。 -- ToshinoriMaeno 2017-06-16 10:15:55

そこで、ENT発見時にNO_MINIMIZEを使うところではTCPを強制することにした。

• qmail.jp下の名前解決でtcpを使っていることは確認してある。

TCP接続させないドメインでは失敗するが、気にしない。

-- ToshinoriMaeno 2017-06-17 05:16:23

TCPの利用が足りないことが判明したので、別の条件を考える。-- ToshinoriMaeno 2017-06-17 05:53:21

qname minimizationがonの場合にはUDPで、それ以外はTCPで問い合わせるという方法を試行中。

• これでうまく分かれてくれればいいのだが。-- ToshinoriMaeno 2017-06-17 07:56:24

1.3. CNAME 毒

CNAME返答を受けとった場合には：

• キャッシュにあるデータとの整合性を検査するのが望ましい。
  • 現状はなにも検査していない。
  もとのqtypeが認められたものかどうかを確認するくらいで、対策になっているものと思う。

-- ToshinoriMaeno 2017-07-12 01:57:51