== DNS/毒盛/否定返答 == <> ここでの否定返答はNXDOMAINを想定している。  NoError返答は問い合わせた特定のtypeのレコードが存在しないことを示すだけで、ほとんど使えないからである。 -- ToshinoriMaeno <> Kaminsky流のランダムサブドメインなどを使った攻撃では、多くの場合、正当なサーバからの返答が先行するであろう。  それらの返答はほとんどが否定返答だと想像できる。それを防御に利用しようというものである。 == 否定返答中のNS == [[DNS/RFC/2308]]を読みなおす。このNSを受け入れる実装が存在する。-- ToshinoriMaeno <> [[DNS/RFC/2181]]に準拠していても、毒盛される。 == 予定している項目 == キャッシュにある否定返答を活用した毒見 否定返答を毒盛されないための防御 キャッシュと返答との整合性検査 max TTLを小さくして、NXDOMAIN攻撃の被害を抑える -- ToshinoriMaeno <>