= kresd/毒盛対策 = <> ---- <> [[DNS/毒盛/対策]] [[DNS/1/security/cookies]] はサポート済み(option) サーバー側の対応が必要で、BIND 9.12 を待っている状態だ。 == NS 毒 == tssの「移転インジェクション」に対する対策はされている。(Authority Sectionの排除) == delegation毒 == Mueller手法による攻撃対策はされていない。(部分的には毒盛しにくくなっている。) qname minimisationは部分的に実装されている。 zone cut 直下のdelegationは毒判定できる。(NS queryの返答を除く) NXDOMAIN返答を利用する方法は現状のキャッシュの構造では簡単ではなさそう。  DNSSECよりは十分簡単なのだが。w QUERY_NO_MINIMIZE時にはTCPを使い、毒入れしにくくしてみた。[[../tcp]] 属性型JPドメインについては、co.jpの下ではno_minimize設定になり、負荷は少し増える。 -- ToshinoriMaeno <> === 考察 === UDP QUERY_NO_MINIMIZE時にdelegation返答が得られた場合には  minimisation onにして、NS(zone cut)を問い合わせなおすのがいい。 と思っているが、改造方法がまだわからない。 -- ToshinoriMaeno <> そこで、ENT発見時にNO_MINIMIZEを使うところではTCPを強制することにした。 qmail.jp下の名前解決でtcpを使っていることは確認してある。 TCP接続させないドメインでは失敗するが、気にしない。 -- ToshinoriMaeno <> TCPの利用が足りないことが判明したので、別の条件を考える。-- ToshinoriMaeno <> qname minimizationがonの場合にはUDPで、それ以外はTCPで問い合わせるという方法を試行中。  これでうまく分かれてくれればいいのだが。-- ToshinoriMaeno <> == CNAME 毒 == CNAME返答を受けとった場合には:  キャッシュにあるデータとの整合性を検査するのが望ましい。   現状はなにも検査していない。 もとのqtypeが認められたものかどうかを確認するくらいで、対策になっているものと思う。 -- ToshinoriMaeno <>