## page was renamed from DNS/実装/リゾルバー <> リゾルバー(キャッシュサーバー)の動作は実装による。-- ToshinoriMaeno <> == リゾルバー/実装 == <> [[DNS/実装]] [[DNS/実装/ゾーンサーバ]] [[DNS/返答]]: [[DNS/1]] を理解していることは前提にする。 https://github.com/semihalev/sdns [[/sdns]] Lightweight, fast recursive dns server with dnssec support https://semihalev.github.io/sdns/ == 問合せの送り先 == qname-minimisation の有無 == 返答の扱い == 1. 委任・委譲返答を信用するか。(毒盛対策は棚上げしたとしても)    harden-referral-path のような動作をどう考えるか。 == キャッシュ == キャッシュの実装も異なる。  djbdnsやBINDのようにすべてをまとめたキャッシュだけでなく、 kresdのように目的、ゾーン別のキャッシュなどもある。 キャッシュの実装が振る舞いに影響するのは言うまでもない。   == 振る舞いの違い == fingerprintとして利用できそう。-- ToshinoriMaeno <> root hints (priming) harden-referral-path (harden-glue は当然として) [[/qname-minimisation]] [[DNS/qname-minimisation]] [[DNS/リゾルバー/zone cut検出]] (privacy) port randomization TTLの扱い(min, max) cache-ttl-max, min などがあるか。 [[/返答パケットの毒味]] [[DNS/毒盛/AncillaryDataAttacks]] Auth/Add section RRsの扱い [[DNS/RFC/2181]] [[DNS/リゾルバー/RFC2181ランキング再考]] 脆弱性(各種) [[DNS/リゾルバー/脆弱性]] [[DNS/毒盛]] == 毒盛対策 == ゾーンサーバからは常にまっとうな返答だけが返ってくると期待してはいけない。  おかしな返事をするサーバーもあれば、毒盛攻撃もある。 毒入りの返答は偽返答としてもやってくる。 NS, CNAME typeには十分注意する必要がある。(現状のリゾルバーはどれも不十分) -- ToshinoriMaeno <>