## page was renamed from DNS/用語/オープンリゾルバー/毒盛対策 == DNS/オープンリゾルバー/毒盛対策 == について、ここに記述してください。 <> ---- 分割返答置換攻撃[[DNS/FCP/tss_test]]への対策はされているだろうか。-- ToshinoriMaeno <> どのような毒盛対策をしているか、調べてみる。  qmail.jpへの問い合わせを発生させてみれば、ある程度は分かる。 1. 0x20 2. qname minimisation 3. nonce attached query 4. harden-referral 5. NXDOMAIN SOA caching -- ToshinoriMaeno <> Google Public DNSはどの対策もやっているようには見えない。監視しているのだろうか。 == フラグメントすり替え耐性 == Let's Encryptが採用しているようにedns-buffersizeを512にするのがよい。 各種脆弱性が明らかになってきているが、対策は容易ではない。 DNSSECを完全に採用した世界が来るとは思えないので、フラグメント化を禁止するくらいのものだ。 -- ToshinoriMaeno <>