1. DNS/オープンリゾルバー/毒盛対策
について、ここに記述してください。
分割返答置換攻撃DNS/FCP/tss_testへの対策はされているだろうか。-- ToshinoriMaeno 2019-02-25 00:36:39
どのような毒盛対策をしているか、調べてみる。
- qmail.jpへの問い合わせを発生させてみれば、ある程度は分かる。
- 0x20
- qname minimisation
- nonce attached query
- harden-referral
- NXDOMAIN SOA caching
-- ToshinoriMaeno 2016-03-16 22:20:35
Google Public DNSはどの対策もやっているようには見えない。監視しているのだろうか。
2. フラグメントすり替え耐性
Let's Encryptが採用しているようにedns-buffersizeを512にするのがよい。
各種脆弱性が明らかになってきているが、対策は容易ではない。 DNSSECを完全に採用した世界が来るとは思えないので、フラグメント化を禁止するくらいのものだ。
-- ToshinoriMaeno 2018-12-08 06:35:12