= DNS/毒盛/2017 =
<<Navigation(children,1)>>

[[../2016]]
　NXDOMAINなどの否定返答が先行するNS毒盛はゾーン不在情報を推論すれば防御できる。

== 2017 ==
CNAME注入による毒盛が可能であることが分かった。(BINDなど）
　CNAMEに付随するanswer section中のレコードでも毒は入りそう。(in-bailiwick検査では不十分）

さらに、NXDOMAIN返答毒によるDoS攻撃が可能な実装も見つかった。(BIND 9.11.*)
  negative caching TTLが長いのは毒が長続きするおそれがある。
　　
-- ToshinoriMaeno <<DateTime(2017-11-01T19:46:35+0900)>>