1. kresd/毒盛対策


DNS/毒盛/対策

DNS/1/security/cookies はサポート済み(option)

1.1. NS 毒

tssの「移転インジェクション」に対する対策はされている。(Authority Sectionの排除)

1.2. delegation毒

Mueller手法による攻撃対策はされていない。(部分的には毒盛しにくくなっている。)

zone cut 直下のdelegationは毒判定できる。(NS queryの返答を除く)

QUERY_NO_MINIMIZE時にはTCPを使い、毒入れしにくくしてみた。../tcp

属性型JPドメインについては、co.jpの下ではno_minimize設定になり、負荷は少し増える。 -- ToshinoriMaeno 2017-06-16 07:29:22

1.2.1. 考察

UDP QUERY_NO_MINIMIZE時にdelegation返答が得られた場合には

と思っているが、改造方法がまだわからない。 -- ToshinoriMaeno 2017-06-16 10:15:55

そこで、ENT発見時にNO_MINIMIZEを使うところではTCPを強制することにした。

TCP接続させないドメインでは失敗するが、気にしない。

-- ToshinoriMaeno 2017-06-17 05:16:23

TCPの利用が足りないことが判明したので、別の条件を考える。-- ToshinoriMaeno 2017-06-17 05:53:21

qname minimizationがonの場合にはUDPで、それ以外はTCPで問い合わせるという方法を試行中。

1.3. CNAME 毒

CNAME返答を受けとった場合には:

-- ToshinoriMaeno 2017-07-12 01:57:51