DNS/1/資源レコード/NS/出現場所

1. NSレコード/出現場所

RFC 1034, 1035 ... ゾーンファイル 親、子

2. ゾーン内

DNS/RFC/1034/4.2#A12

ゾーンを構成しているデータ中では、NS RRs は 
  ゾーンの最上位ノードについている(権威がある)か、
  ゾーンの底部のカットにある(権威はない)かであり、
中間にはあらわれない。 

ゾーンの根元(ゾーン名)に付随するNSレコードはゾーンの権威をもつサーバを確認するための資源レコードである。

ゾーンの根元ではないノードに対するNSレコードはゾーンカットを示す資源レコードである。(委譲を示す)

3. DNS返答中のNS

/委譲返答/遷都情報、ただの案内(余計な情報:上方参照、案内)、... 偽返答や間違い返答もある。

3.1. ゾーン同居

親子ゾーンが同居していると、ゾーンの根元でもなく、末端でもないノードに対してNSレコード Answerが返ることがある。

[例] cz, nic.cz が同居しているccTLD/czでは、子の nic.cz NS 問い合せに対して、 answer section が返ってくる。

4. キャッシュとNSの関係

NS RRSet の選択と保存方法など。 glue も関係するか。 (キャッシュにあれば、上書きしないのがいいと思うが、多くの実装はそうなっていない。)

5. DB

レジストラなどのDNSサービス業者での設定ファイル(GUIで設定するものが多い)

妄想

6. 間違った使い方

lame delegation, 余計なAレコード、 ...

7. 毒盛

攻撃方法も(出現場所によって)名前を使いわけるべきだと考える。

"node re-delegation attack" : 偽遷都情報注入による攻撃

単なる delegation attack : 偽委譲返答注入による攻撃


偽情報も多岐に渡るがNS関係が一番狙い易い。

8. 毒盛対策

キャッシュにある情報は上書きしないのがよい。

@SIG@

MoinQ: DNS/資源レコード/NS/出現場所 (last edited 2021-07-14 00:25:49 by ToshinoriMaeno)