== DNS/毒盛/対策/NXDOMAIN返答活用/ゾーン不在情報 == <> ---- == 定義 == {{{ q : query name s : 返答中のSOAレコードのowner field name c : 問い合わせたzone cut }}} == 返答 == query type A だったとする。 NXDOMAINあるいはNoData返答があったとする。  Authority Sectionには一つだけSOAレコードがあるはずだ。  q <= s <= c (ドメイン名の包含関係)が成り立つ。 ゾーンの存在を考察する。 1. q < s = c : q はゾーンではなかった。(レコードもない。途中にゾーンはない) 2. q = s < c : q, s はゾーンである。(referral 返答が返るはずのケース; NoData?) 3. q < s < c : s はゾーンである。(referral返答が返るべきケース; qまでにゾーンはない) 2,3 のケースでreferral返答が返らないのは、  sとcゾーンが同じサーバでサービスされているケースである。(同居) -- ToshinoriMaeno <> 例)co.jp ドメイン名については、NSについての問い合わせに対して、  NoData返答が記録されているはずなので、JPRSのいう委任インジェクションは成立しない。 -- ToshinoriMaeno <> == co.jp == ここの情報を利用するとco.jpへの毒盛は排除できる。 == nerima.tokyo.jp == tokyo.jp への毒盛はco.jpへの毒盛と同様に排除できる。 だが、nerima.tokyo.jpへの委譲返答はここの情報だけでは排除できない。 tokyo.jp, nerima.tokyo.jp はともにゾーンではない中間のノードだから。 -- ToshinoriMaeno <>