1. DNS/毒盛/AncillaryDataAttacks/sibling_domain_glue毒
間違い用語: 最近ではsibling domain glueと呼ばれている。
DNS/用語/glue/sibling glue (真に必要なものではないので、glueとは言いたくないが、glueを広く解釈する。)
Additional Section中のAレコードなどを受け入れると毒盛されたときの影響が大きい。
-- ToshinoriMaeno 2019-02-15 09:48:35
1.1. 文献
DNS/FCP Amir Herzberg, Haya Shulman: Fragmentation Considered Poisonous, or: One-domain-to-rule-them-all.org Conference Paper (PDF Available) · October 2013 with 155 Reads
1.2. 例
$dig www.small-is-beautiful.jp @a.dns.jp
Additional Section中の nsa.dns.jpのAレコードをキャッシュに入れていたら、そのリゾルバーは危ない。(BIND, Unboundなど)
1.3. 危険度
ns*.dns.jpは通常のリゾルバーではキャッシュされていることは稀でしょう。
- つまり、毒盛される危険度はかなり大だと考えます。
1.4. 対策
sibling domain glueを受け入れないようにするには、
- unboundではharden-referral-path=yes に設定するのがいいでしょう。
- BINDには同様のオプションは見当たりません。ご愁傷さま。
-- ToshinoriMaeno 2019-02-15 11:24:00