1. DNS/毒盛再考/NS 移転通知毒/RFC2181ランキング再考/議論
* Additional information from an authoritative answer,
Data from the authority section of a non-authoritative answer,
Additional information from non-authoritative answers. 以下の二つは最低ランクとして記述されている。(これが間違いのもとだが)
- 1) 権威ある返事の付加情報、 (注: glue ) 2) 権威のない返事のauthority節中のデータ、 権威のない返事の付加情報
これらより優先度が高いのは、 (置き換えてはいけないもの)
- A) 権威ある返事の answer節中にある権威あるデータ、 (直接の問合せの返答)
そして、問題の「移転」かも知れないレコード
権威ある返事の authority節中にあるデータ、
A が B より優先されることは明記されている。
2. 毒盛できそうな動作
- 上位から委譲された「権威のない返事中のAuthority Section」をキャッシュしている。 (delegation 情報)
- Unbound のようにこの delegation を使って、 NS を問合せなおすなら、移転毒は入らない。
- NS を問い合わせることなく、 A などを問い合わせるキャッシュサーバであれば、
- 本来はNXDOMAIN返答が返るような攻撃をして、 Answer + Authority として移転毒が入れられそう。
以上のことはすでに考察済みかもしれないが、資料が見当たらないので、念のために書いておくものである。
-- ToshinoriMaeno 2014-12-14 00:38:57
3. 結論
RFCに「根本原因」があるために「移転毒」が入れられるという主張は間違いだと考える。
- 実装の欠陥である。
unbound の対応 DNS/unbound/harden-referral-path がよい。 -- ToshinoriMaeno 2014-12-14 05:10:06