== DNS/毒盛/Mueller手法/防御 == delegation返答の毒見には上のzone cutにNSレコードを問い合わせし直すのがよい。  qname minimisationをきちんと実装していて、キャッシュを優先していれば、危険性は少ない。 [[DNS/毒盛/NS毒盛/対策/]], ゾーンが存在しないしないことが推定できる返答 [[DNS/毒盛/NS毒盛/対策/ゾーン非存在]] Muller型の攻撃では、多数のNXDOMAIN返答に対して、delegation返答が紛れ込む。  NXDOMAIN返答にはSOAレコードが含まれていて、ゾーンカットを示している。   このゾーンカット以外のdelegationは偽返答だと判断できる。 ここのゾーンカットを利用して、毒を排除するという実装は見かけない。  Knot-Resolverには提案したような気もするが、返事はもらっていない。 -- ToshinoriMaeno <>