DNS/1/security/cookies以降について、ここに記述してください。

../cookies により、返答の送信元が正当なゾーンサーバであると判明したとしても、

• その返答を無条件に受け入れるわけにはいかない。

なにをどこまで受け入れてよいか、改めて、検討しよう。

• 正当な送信元であるとは言えない場合にはDNS/毒を想定すべきである。

1. フラグメントすり替え攻撃

短いパケットに関しては心配しなくてよくなりそう。（2分割まで）

• 3分割された場合の第2フラグメントになにが入るか、よく検討する必要がある。

2. TTL

すぐに思い浮かぶのはTTLである。

• Ghost Domain Names 脆弱性が指摘されて、NSレコードのTTLは制限されるようになったが、 その他のAレコードのTTLなどには配慮されていない。

3. CNAME

これまで通り、問い合わせ名に合致する名前だけ、受け入れるべきである。

4. Authority Section

5. Additional Section

-- ToshinoriMaeno 2017-04-08 06:58:04