== kresd/akamai == Knot resolverのqname minimisationがakamai下の名前をどう探索するか。  そして、Mueller手法によるNS毒にどう対抗すべきか、考える。 探索例:www.apple.com.edgekey.net.globalredir.akadns.net == net, akadns.net ゾーン == これらはよく参照されるので、zone cutとして既知であるとする。 == globalredir NS query == CNAME返答が返るのでzone cutではない。 QUERY_NO_MINIMIZATIONがonになって、 akadns.net NSに www.apple.com.edgekey.net.globalredir.akadns.net A を問い合わせる。  正規の返事はCNAMEであり、次はそのCNAMEの名前解決に進む。 == 毒盛攻撃 == akadns.net NSからの返答を装い、以下の名前に現れる任意のノードに毒を入れられそうだ。  www.apple.com.edgekey.net.globalredir[.akadns.net] == 対策 == minimization offでdelegation返答が返ったときには、  NS返答のラベル(ターゲットではないとして)に対して、   minimization on の状態に戻って、探索を再開するのがより安全である。 これなら、対応する修正も簡単だし、探索の手間も少ないだろう。 -- ToshinoriMaeno <>