DNS/キャッシュサーバ/BINDについて、ここに記述してください。

ソース: ftp://ftp.isc.org/isc/bind9/

日本語情報: http://jprs.jp/tech/ (ほとんどがBINDのバグ情報)

1. キャッシュサーバとしてのBIND

https://www.isc.org/software/bind/security/matrix

バージョンにより動作(仕様?)が変わっているらしい。 /bug

http://jprs.jp/tech/security/bind9-vuln-cache-poisoning.html

US-CERT Vulnerability Note VU#418861

1.1. 9.6.-ESV-R3

sakura VPS で動かしたnamed version (FreeBSD 8.2 標準) 

%/usr/sbin/named -V
BIND 9.6.-ESV-R3 built with '--prefix=/usr' '--infodir=/usr/share/info' '--mandir=/usr/share/man' '--enable-threads' '--enable-getifaddrs' '--disable-linux-caps' '--with-openssl=/usr' '--with-randomdev=/dev/random' '--without-idn' '--without-libxml2'

authority/additional sectionにあるRRSetでキャッシュにあるRRSetのTTLが更新されるか: yes が確認できた。

/9.6-ESV-R5ではTTLは更新されない。(キャッシュが優先)

2. TTLの扱い

bindはanswer sectionとauthority/additional section からのRRを区別している可能性がある。

NSはどうか。

NSレコードを問い合わせることはキャッシュの内容を知ることになるのか。 

bindの振る舞いは返答のauthority section を見ればわかる。

../query

../unboundとは異なる動作だ。 -- ToshinoriMaeno 2011-08-12 07:57:20

https://www.isc.org/announcement/operational-advisory-bind-96-esv-r3-and-previous

3. 別の版

/9.7.4 でもTTLは減少する。 -- ToshinoriMaeno 2011-08-12 06:50:34

9.5.0-P1 (Kaminsky流攻撃対策版2008-07-11)でもTTLは減少する。

9.3.5, 9.3.6 でもTTLは減少する。 /9.3.0 も減少する。

/9.4.0のadditional section caching を調べるべきか。 -- ToshinoriMaeno 2011-08-12 07:12:25

/9.2.1 ではauthority section のNSのTTLは減少するが、 additional section の A レコードのTTLは更新されて、延長された。

4. NSのTTL減少がいつからか

関係ありそうな修正はこれか。でも、これはglueだけで、NSレコードではなさそう。 

1488.   [bug]           Don't override trust levels for glue addresses.
                        [RT #5764]

9.2.3 は2003年10月23日の発行だ。その前になにがあったか。

5. TTL が更新される

5.1. 9.7.4 で

/9.7.4-2 /9.7.4-3

5.2. 9.4-ESV-R5

TTL 更新されている。 /9.4-ESV-R5

6. poisoning

/9.6.1-P1

関連情報: http://www.zytrax.com/books/dns/ch7/queries.html