MoinQ:

DNS/毒盛再考/多世代ゾーン同居/検討について、ここに記述してください。

1. 子孫側NSがキャッシュされやすいケース

NSレコードが問合せされることはないとして、

存在する名前に対する問合せに対しての返答で、 authority section に付けられてくるNSレコードを受け取るのであれば、比較的安全かもしれません。

でも、存在しない名前に対しての偽返答でも同様の返答(偽NSつき)をすることは可能なので、 authority section (NS) を受け入れること自体に危険性がともないます。

単に受け入れるのではなく、確認のための問合せなどを併用すべき状況だと言えます。

-- ToshinoriMaeno 2014-09-19 03:08:36

2. 実際の例

%dnsq ns cure.ne.jp a.dns.jp

2 cure.ne.jp:
100 bytes, 1+0+2+2 records, response, noerror
query: 2 cure.ne.jp
authority: cure.ne.jp 86400 NS ns1.dns.ne.jp
authority: cure.ne.jp 86400 NS ns2.dns.ne.jp
additional: ns1.dns.ne.jp 86400 A 210.188.224.9
additional: ns2.dns.ne.jp 86400 A 210.224.172.13

%dnsq ns cure.ne.jp ns1.dns.ne.jp

2 cure.ne.jp:
68 bytes, 1+2+0+0 records, response, authoritative, noerror
query: 2 cure.ne.jp
answer: cure.ne.jp 3600 NS ns2.dns.ne.jp
answer: cure.ne.jp 3600 NS ns1.dns.ne.jp

%dnsq ns www.cure.ne.jp ns1.dns.ne.jp

2 www.cure.ne.jp:
72 bytes, 1+2+0+0 records, response, authoritative, noerror
query: 2 www.cure.ne.jp
answer: www.cure.ne.jp 3600 NS ns1.dns.ne.jp
answer: www.cure.ne.jp 3600 NS ns2.dns.ne.jp

%dnsq a www.cure.ne.jp ns1.dns.ne.jp

1 www.cure.ne.jp:
88 bytes, 1+1+2+0 records, response, authoritative, noerror
query: 1 www.cure.ne.jp
answer: www.cure.ne.jp 3600 A 219.94.129.99
authority: www.cure.ne.jp 3600 NS ns2.dns.ne.jp
authority: www.cure.ne.jp 3600 NS ns1.dns.ne.jp