== DNS/実装/KnotDNSresolver/fix == <> [[kresd/fix]] は日本語が不自由なひと向けにしよう。 ---- config: mode('strict') で指定できるようになった。  referral NSレコードに付随するAdditional Sectionを受け入れるための判定条件を決めている。   in-bailiwickの解釈が違っているようだ。 == 基本線 == zone cutに付随する情報はzone cutキャッシュにのみ保存する。  zone cutの存在はpktcacheにおく。 Answer返答でえたものだけをrrcacheに保存する。(返答にも利用する) == 毒盛対策 == Kaminksy手法によるNS毒盛対策 === tss 移転インジェクション === 1. Answerあり返答中のAuthority/Additionalを無視するための追加修正:  rrcache.c などにある stash_* を無効にする。[[kresd/fix]] 参照 === Mueller攻撃 === 2. 偽装委譲(委任)返答の排除    先行するNXDOMAIN返答などを利用して、NSレコードの不存在を保持しておき、毒見に使う。   利用できないケースも存在するが、属性型JPドメイン名への毒の排除には効果がある。 -- ToshinoriMaeno <>