## page was renamed from watch-zone/gtld-servers.net == TLD/net/gtld-servers.net == <> * rootゾーンをみると、com/netゾーンは*.gtld-servers.netにdelegateされている。 netに関してはglueが付いている。comについているのは捨てられるべきadditionalである。 * \*.gtld-servers.netの権威あるAレコードを得るにはgtld-servers.net (ゾーンのサーバー)に 問い合わせる必要があるが、gtldゾーンは*.nstld.comにdelegateされている。 この返答についてくるのはglueではない。捨てられるべき情報である。(続く) * nstld\.comゾーンは(当然ながら)comゾーンからdelegateされているはずなのだが、 comゾーンに権威のあるサーバーのアドレスは確実ではない。(rootが返すglueだけ) 結論: com/net 下のドメインに関しては  glueではないadditional section内のA/AAAAレコードを信用しないという立場では名前解決できなくなる。 現状のリゾルバーはこうなってはないのだろう。 (com/netゾーンの設定を変えるだけでは問題は解決しない。) == 現状 == gtld-servers.netゾーンを持っているのはnstld.com下のホストであり、  このホストのAレコードは信用できる形では取り出せないからである。-- ToshinoriMaeno <> == 改善策 == gtld-servers.netのNSをgtld-servers.net下を指すように戻す。(以前はそうなっていた)   nstld.com下に置いたのは重大なミスである。-- ToshinoriMaeno <> ---- == 説明 == gtld-servers.netについて、netゾーンのNSである*.gtld-servers.netに問い合わせると、 NSレコードが av[1-4].nstld.comを指すという返事が返る。  [[/new]] 最近変更されたらしい。-- ToshinoriMaeno <>   返答中のadditionl section は捨てるべきものだ。(net, comが同居しているという情報を利用するのでなければ。) [[/graph]] おもしろいものを見た。-- ToshinoriMaeno <> 2016年1月13日に更新されたようだ。 過去にあった話 https://lists.dns-oarc.net/pipermail/dns-operations/2010-January/004838.html == net NS == root-server はこういう。 {{{  net NS [a-m].gtld-servers.net m.gtld-servers.nt A 192.55.83.30 }}} このAレコードはglueであるので、ひとまず受け入れる。 net NS のひとつである192.55.83.30に改めてnet NS を問い合わせる。  でも、返答は似たようなものだ。(additionalは余計なので捨てる)[[/dig-log]] だが、ここで m.gtld-servers.net A をといあわせると、こう答える。 {{{  A レコードに権威はないと。nstld.comに問い合わせてくれ。 }}} %dnsq a m.gtld-servers.net 192.55.83.30 {{{ 1 m.gtld-servers.net: 293 bytes, 1+0+4+8 records, response, noerror query: 1 m.gtld-servers.net authority: gtld-servers.net 172800 NS av1.nstld.com authority: gtld-servers.net 172800 NS av2.nstld.com authority: gtld-servers.net 172800 NS av3.nstld.com authority: gtld-servers.net 172800 NS av4.nstld.com additional: av1.nstld.com 172800 A 192.42.177.30 additional: av2.nstld.com 172800 A 192.42.178.30 additional: av3.nstld.com 172800 A 192.82.133.30 additional: av4.nstld.com 172800 A 192.82.134.30 }}} でも、ここのadditionalは危ないので、受け入れない。  av*.nstld.com のAレコードは別途求めなくてはならない。 == 古くなった情報 == 以前の設定であれば、問題にはならなかったのだが。 --> [[/new]] [[TLD/net]] ゾーンの NS は gtld-servers.net ゾーン(子)内にある。 [[TLD/com]] もだ。  gtld-servers.net ゾーンの NS は自ゾーン内にあるが、 net ゾーン用のNSとは別らしい。 -- ToshinoriMaeno <> %dnsq a a.gtld-servers.net a.gtld-servers.net {{{ 1 a.gtld-servers.net: 356 bytes, 1+0+8+10 records, response, noerror query: 1 a.gtld-servers.net authority: gtld-servers.net 172800 NS a2.gtld-servers.net authority: gtld-servers.net 172800 NS c2.gtld-servers.net authority: gtld-servers.net 172800 NS d2.gtld-servers.net authority: gtld-servers.net 172800 NS e2.gtld-servers.net authority: gtld-servers.net 172800 NS f2.gtld-servers.net authority: gtld-servers.net 172800 NS g2.gtld-servers.net authority: gtld-servers.net 172800 NS h2.gtld-servers.net authority: gtld-servers.net 172800 NS l2.gtld-servers.net additional: a2.gtld-servers.net 172800 A 192.5.6.31 additional: a2.gtld-servers.net 172800 28 \040\001\005\003\250>\000\000\000\000\000\000\000\002\0001 additional: c2.gtld-servers.net 172800 A 192.26.92.31 additional: c2.gtld-servers.net 172800 28 \040\001\005\003\203\353\000\000\000\000\000\000\000\002\0001 additional: d2.gtld-servers.net 172800 A 192.31.80.31 additional: e2.gtld-servers.net 172800 A 192.12.94.31 additional: f2.gtld-servers.net 172800 A 192.35.51.31 additional: g2.gtld-servers.net 172800 A 192.42.93.31 additional: h2.gtld-servers.net 172800 A 192.54.112.31 additional: l2.gtld-servers.net 172800 A 192.41.162.31 }}} ----- $ dig ns zzzxxxx123.gtld-servers.net @b.gtld-servers.net {{{ ; <<>> DiG 9.8.1-P1 <<>> ns zzzxxxx123.gtld-servers.net @b.gtld-servers.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39575 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 8, ADDITIONAL: 10 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;zzzxxxx123.gtld-servers.net. IN NS ;; AUTHORITY SECTION: gtld-servers.net. 172800 IN NS a2.gtld-servers.net. gtld-servers.net. 172800 IN NS c2.gtld-servers.net. gtld-servers.net. 172800 IN NS d2.gtld-servers.net. gtld-servers.net. 172800 IN NS e2.gtld-servers.net. gtld-servers.net. 172800 IN NS f2.gtld-servers.net. gtld-servers.net. 172800 IN NS g2.gtld-servers.net. gtld-servers.net. 172800 IN NS h2.gtld-servers.net. gtld-servers.net. 172800 IN NS l2.gtld-servers.net. ;; ADDITIONAL SECTION: a2.gtld-servers.net. 172800 IN A 192.5.6.31 a2.gtld-servers.net. 172800 IN AAAA 2001:503:a83e::2:31 c2.gtld-servers.net. 172800 IN A 192.26.92.31 c2.gtld-servers.net. 172800 IN AAAA 2001:503:83eb::2:31 d2.gtld-servers.net. 172800 IN A 192.31.80.31 e2.gtld-servers.net. 172800 IN A 192.12.94.31 f2.gtld-servers.net. 172800 IN A 192.35.51.31 g2.gtld-servers.net. 172800 IN A 192.42.93.31 h2.gtld-servers.net. 172800 IN A 192.54.112.31 l2.gtld-servers.net. 172800 IN A 192.41.162.31 ;; Query time: 138 msec ;; SERVER: 192.33.14.30#53(192.33.14.30) ;; WHEN: Sun Mar 30 20:35:57 2014 ;; MSG SIZE rcvd: 365 }}} == 攻撃に使えるか == 委譲インジェクションではない。 -- ToshinoriMaeno <> $ dig ns zzzxxxx123.gtld-servers.net @a2.gtld-servers.net {{{ ; <<>> DiG 9.8.1-P1 <<>> ns zzzxxxx123.gtld-servers.net @a2.gtld-servers.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11482 ;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;zzzxxxx123.gtld-servers.net. IN NS ;; AUTHORITY SECTION: gtld-servers.net. 86400 IN SOA A2.NSTLD.COM. nstld.verisign-grs.COM. 2010113000 3600 900 1209600 86400 ;; Query time: 235 msec ;; SERVER: 192.5.6.31#53(192.5.6.31) ;; WHEN: Sun Mar 30 20:40:38 2014 ;; MSG SIZE rcvd: 112 }}}