1. DNS/毒盛/否定返答
Contents
NoError返答は問い合わせた特定のtypeのレコードが存在しないことを示すだけで、ほとんど使えないからである。
-- ToshinoriMaeno 2017-10-29 04:15:29
Kaminsky流のランダムサブドメインなどを使った攻撃では、多くの場合、正当なサーバからの返答が先行するであろう。
- それらの返答はほとんどが否定返答だと想像できる。それを防御に利用しようというものである。
2. 否定返答中のNS
DNS/RFC/2308を読みなおす。このNSを受け入れる実装が存在する。-- ToshinoriMaeno 2018-11-14 02:32:28
DNS/RFC/2181に準拠していても、毒盛される。
3. 予定している項目
キャッシュにある否定返答を活用した毒見
否定返答を毒盛されないための防御
キャッシュと返答との整合性検査
max TTLを小さくして、NXDOMAIN攻撃の被害を抑える
-- ToshinoriMaeno 2017-10-29 02:57:30