1. DNS/委譲返答
DNS/返答/NS移転返答 : 委譲返答ではない。
2. 例
%dnsq a qmail.jp a.dns.jp
1 qmail.jp: 61 bytes, 1+0+1+1 records, response, noerror query: 1 qmail.jp authority: qmail.jp 86400 NS a.ns.qmail.jp additional: a.ns.qmail.jp 86400 A 14.192.44.5
0:49f%dnsq ns qmail.jp a.dns.jp
2 qmail.jp: 61 bytes, 1+0+1+1 records, response, noerror query: 2 qmail.jp authority: qmail.jp 86400 NS a.ns.qmail.jp additional: a.ns.qmail.jp 86400 A 14.192.44.5
NSレコードを問い合わせても同様の返事が返ってくる。
3. 形式
Orangeさんのスライドによると、
- 権威を持たない応答
- answer sectionが空
- authority sectionにNSホスト名
- additional sectionにNSホスト名のIPアドレスがつくこともある。
とある。ただし、DNS/参考返答もこの形であるので、 形式だけで、委譲(委任)返答だと判断することはできない。
スライドには
ただし、委任する権限を持つのは正当な委任元のみ[[DNS/NS移転返答]]
とあって、(だが、「正当な委任元」の説明はされていない)
答えたサーバが/委譲する権限を持っていることを確認しておく必要がある。
だが、「正当な委任元」の判定(理解?)はむずかしい。(リゾルバーの責任)
- 逆に、問い合わせたサーバが「委譲返答を返せるドメイン」がなにであるかを知ることはできる。
answer section が空でないものは DNS/NS移転返答 の可能性がある。
- ただし、毒盛に使われる可能性が多いので、 キャッシュサーバとしては受け入れない方がよい。
-- ToshinoriMaeno 2014-10-31 00:49:13
4. 条件
??? 今後はっきりさせる
問い合わせた側はどこ(どのドメイン[Xと呼ぶ]の権威サーバ)に何[Y.X[を問い合わせたか分かっているはず。
- 返答のauthority section のラベル[Zと呼ぶ]が Xのサブドメインでなければ、無視すべきである。 (よくある)
- 無視すべき例: JP 権威サーバが root サーバをauthority ラベルに返してきた。
authority sectionのラベルZがXのサブドメインであり、Yを含むのであれば、
- このNSレコードは第三者からの偽返答でないかぎり、受け取ることになる。
ZがXのサブドメインであり、Yを含まない場合は捨てる。(レコード設定あるいはサーバ設定の不良であろう)
5. NSレコード値
NSレコードが指している先がZのサブドメイン(内部名)であれば、
- そのIPアドレスがAレコードとしてadditional sectionに含まれていなければならない。 なければ、設定の不良である。(よくある)
6. additional section
root-server の返事だっておかしい。/root-servers
参考: