DNS/リゾルバー/要件/Answer Sectionから分かることについて、ここに記述してください。
毒(偽返答)ではなさそうな返答で、Answer Sectionに返答(期待したもの)があったら:
- 問い合わせたゾーンサーバ(zone cut)は正しかった。
つまり、
query name までのdomain name path 上には zone cutはないと推定できる。
ただし、子ゾーンが同居している場合にはこの限りではない。(でも、子ゾーンは無視してよい)
しかし、親子ゾーン同居設定の場合、 通常返答でdelegationが返ってくることはないので、zone cutはないとしてよい。
子へのdelegationは毒を疑うのがより安全である。
-- ToshinoriMaeno 2017-04-03 00:08:38
1. 背景
wildcard recordが設定されたゾーンへのqueryを考えてみよ。
- これがなければ、NXDOMAIN返答が返ってきて、SOA情報が防御に利用できる。
-- ToshinoriMaeno 2017-04-03 00:23:41