== DNS/毒盛/対策/先行するNXDomain返答 == 偽委譲返答によるNS毒盛の場合、 正規のゾーンサーバが機能していれば、NXDomain返答が先行しているはずなので、 [[../NXDOMAIN返答活用]]により、毒を判別できるであろう。 -- ToshinoriMaeno <> 正規のゾーンサーバを機能させないようにすることで、NXDomain返答を得にくくする。(攻撃の補助) 水責め攻撃を受けているゾーンサーバ(ドメイン)が存在している場合、 どこかのキャッシュサーバに毒盛するのが容易になっている。 水責め攻撃情報の公開が重要だと考える。 -- ToshinoriMaeno <> == wildcard設定がある場合 == Answerありの返事が返ってくることもある。 毒の送り方はNXDomainのケースと代わりはない。 domain pathの途中にNSを持たない(キャッシュにない)ノードがあれば、NS毒が入れられる。  キャッシュを上書きするリゾルバーに対しては、tssの「移転インジェクション」が便利だろう。 -- ToshinoriMaeno <>