1. DNS/返答/疑似ENT

について、ここに記述してください。

NXDOMAIN返答がどの程度RFCに沿って実装されているか調べていたら、こんな返答を見てしまいました。

まるで、empty non-terminal のような返事ですが、ENTではなさそうです。

-- ToshinoriMaeno 2017-10-02 11:46:40

「リゾルバーを権威サーバーとして登録している」というのが現時点での推測です。

ほかのもそうなのか。いやー、DNSの運用は乱れてます。（思い出すのに時間がかかってしまった。）

-- ToshinoriMaeno 2017-10-02 12:23:11

%dig -t any notexist.fdk.jp @master.fdk.co.jp

; <<>> DiG 9.10.4-P6 <<>> -t any notexist.fdk.jp @master.fdk.co.jp
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1910
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 3
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;notexist.fdk.jp.               IN      ANY

;; AUTHORITY SECTION:
fdk.jp.                 40389   IN      NS      ns2.ctc.ad.jp.
fdk.jp.                 40389   IN      NS      master.fdk.co.jp.

;; ADDITIONAL SECTION:
ns2.ctc.ad.jp.          40394   IN      A       210.158.0.17
master.fdk.co.jp.       600     IN      A       210.167.165.130

;; Query time: 14 msec
;; SERVER: 210.167.165.130#53(210.167.165.130)
;; WHEN: Mon Oct 02 20:40:32 JST 2017
;; MSG SIZE  rcvd: 129

かと言って、ここはwildcardレコードがあるようでもない。（wildcard, CNAMEというドメインは存在する。）

おかしなアプライアンスなのか。

NXDOMAIN返答コードはお嫌い？　なにかのRFCに反しているということではなさそう。

-- ToshinoriMaeno 2017-10-02 11:46:40

もう一台はこういう返事だから、無断で登録なのかも。

%dig -t ns bbbb.fdk.jp @ns2.ctc.ad.jp. ~/dnsq/0930

; <<>> DiG 9.10.4-P6 <<>> -t ns bbbb.fdk.jp @ns2.ctc.ad.jp.
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 15978
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;bbbb.fdk.jp.                   IN      NS

;; Query time: 12 msec
;; SERVER: 210.158.0.17#53(210.158.0.17)
;; WHEN: Mon Oct 02 21:23:22 JST 2017
;; MSG SIZE  rcvd: 40

answer sectionありの場合にauthorityなどを捨てる対策だけでは、このタイプの毒は棄てられない。

「delegationではない」ということでauthorityを捨てるという決断をしないと、毒が入りそう。

-- ToshinoriMaeno 2017-10-02 12:04:27

DNS/返答/NoData返答

Authority SectionにSOAが含まれていれば、NoData返答だと解釈してもよいが、SOAは必須ではないの。

NSレコードしかないのはどう考えるべきか。

https://www.rfc-editor.org/rfc/rfc2308.txt だとAuthoritative Serverからの返事にはSOAは必須らしい。

MoinQ: DNS/返答/NoData/疑似ENT (last edited 2021-05-20 22:37:26 by ToshinoriMaeno)