DNS/実装/KnotDNSresolver/featureについて、ここに記述してください。
1. 1.2.6
毒盛対策関連の機能がだいぶ充実してきた。
qname minimisation (rootからたどっていく。)
- zone cut 情報の分離
DNS Cookies (RFC 7873)
qname case randomization (qname中のアルファベットのランダム化)
- ランダムサブドメイン名攻撃への耐性を向上させる。
Ancillarly Data (Authority/Addition section)
-- ToshinoriMaeno 2017-04-28 09:16:23
2. 期待
NXDOMAIN返答を活用する対策は未実装である。
- zone cut 発見のためには使われる。
- とくにMuellerによるdelegation攻撃は対策されていない。
-- ToshinoriMaeno 2017-04-28 09:36:56
なぜSOA情報をもっと活用しないのだろう。(kresd/negative-cachingNegative Caching)
- lib/resolve.c を読み込む必要がある。delegation返答を受け入れるときの判断材料にする。
-- ToshinoriMaeno 2017-04-28 10:16:53