MoinQ:

1. DNS/毒盛/否定返答

ここでの否定返答はNXDOMAINを想定している。

-- ToshinoriMaeno 2017-10-29 04:15:29

Kaminsky流のランダムサブドメインなどを使った攻撃では、多くの場合、正当なサーバからの返答が先行するであろう。

2. 否定返答中のNS

DNS/RFC/2308を読みなおす。このNSを受け入れる実装が存在する。-- ToshinoriMaeno 2018-11-14 02:32:28

DNS/RFC/2181に準拠していても、毒盛される。

3. 予定している項目

キャッシュにある否定返答を活用した毒見

否定返答を毒盛されないための防御

キャッシュと返答との整合性検査

max TTLを小さくして、NXDOMAIN攻撃の被害を抑える

-- ToshinoriMaeno 2017-10-29 02:57:30