## page was renamed from DNS/BIND/キャッシュサーバ
## page was renamed from DNS/キャッシュサーバ/BIND
DNS/キャッシュサーバ/BINDについて、ここに記述してください。

ソース： ftp://ftp.isc.org/isc/bind9/

日本語情報： http://jprs.jp/tech/　(ほとんどがBINDのバグ情報）

== キャッシュサーバとしてのBIND ==
https://www.isc.org/software/bind/security/matrix

バージョンにより動作（仕様？）が変わっているらしい。 [[/bug]]
　しかも、キャッシュだから、履歴が影響するので、調べるのは大変だ。
　　ソースを読みとれるるとも思えない。

http://jprs.jp/tech/security/bind9-vuln-cache-poisoning.html
 BIND 9の脆弱性を利用したキャッシュポイズニング攻撃について(第3版)
  - パッチ適用を推奨 - 2010/01/20(Thu)
US-CERT Vulnerability Note VU#418861
 <http://www.kb.cert.org/vuls/id/418861>
=== 9.6.-ESV-R3 ===
sakura VPS で動かしたnamed version (FreeBSD 8.2 標準）
{{{
%/usr/sbin/named -V
BIND 9.6.-ESV-R3 built with '--prefix=/usr' '--infodir=/usr/share/info' '--mandir=/usr/share/man' '--enable-threads' '--enable-getifaddrs' '--disable-linux-caps' '--with-openssl=/usr' '--with-randomdev=/dev/random' '--without-idn' '--without-libxml2'
}}}

authority/additional sectionにあるRRSetでキャッシュにあるRRSetのTTLが更新されるか: yes が確認できた。
　[[/9.6.-ESV-R3]] [[/9.6.-ESV-R3/その２]]

[[/9.6-ESV-R5]]ではTTLは更新されない。（キャッシュが優先）

== TTLの扱い ==
bindはanswer sectionとauthority/additional section からのRRを区別している可能性がある。
　glue については確実だ。と思っていたら、 A type query にglueを返答してきた。
NSはどうか。

NSレコードを問い合わせることはキャッシュの内容を知ることになるのか。
　A レコードの問い合わせだけでも分かるかもしれない。(authority/additional sectionがつく場合。）
{{{
bindの振る舞いは返答のauthority section を見ればわかる。
}}}
[[../query]]

[[../unbound]]とは異なる動作だ。 -- ToshinoriMaeno <<DateTime(2011-08-12T16:57:20+0900)>>

https://www.isc.org/announcement/operational-advisory-bind-96-esv-r3-and-previous

== 別の版 ==
[[/9.7.4]] でもTTLは減少する。　-- ToshinoriMaeno <<DateTime(2011-08-12T15:50:34+0900)>>

9.5.0-P1 (Kaminsky流攻撃対策版2008-07-11）でもTTLは減少する。

9.3.5, 9.3.6 でもTTLは減少する。 [[/9.3.0]] も減少する。

[[/9.4.0]]のadditional section caching を調べるべきか。 -- ToshinoriMaeno <<DateTime(2011-08-12T16:12:25+0900)>>
 これ以前はキャッシュされていなかった可能性もある。 キャッシュされたglueは答えないはずなのに、Aとして返答している。

[[/9.2.1]] ではauthority section のNSのTTLは減少するが、 additional section の A レコードのTTLは更新されて、延長された。
 zac.qmail.jp (A) がexpireしたところで、すべてrefreshされた。 [[/9.2.1]]
  9.2.1 は返答に時間がかかる。 (ssh login)
   https://lists.isc.org/pipermail/bind-users/2008-January/068964.html

== NSのTTL減少がいつからか ==
  9.2.6 では減少する。 9.2.2 ではTTLは更新されるが、 9.2.3 は減少する。
　　　9.2.2-P3 でTTLが更新されることが分かったので、 9.2.3からの変更だとわかる。　-- ToshinoriMaeno <<DateTime(2011-08-15T17:11:24+0900)>>

関係ありそうな修正はこれか。でも、これはglueだけで、NSレコードではなさそう。
{{{
1488.   [bug]           Don't override trust levels for glue addresses.
                        [RT #5764]
}}}
9.2.3 は2003年10月23日の発行だ。その前になにがあったか。

== TTL が更新される ==
=== 9.7.4 で ===
[[/9.7.4-2]] [[/9.7.4-3]]

=== 9.4-ESV-R5 ===
TTL 更新されている。　[[/9.4-ESV-R5]]

== poisoning ==
[[/9.6.1-P1]]
----
関連情報： http://www.zytrax.com/books/dns/ch7/queries.html