1. brau.jpを乗取る/第二段

以下の結果を出力するために、リゾルバー内部ではなにが起きているか。

あるいは、以下の検索はなにを目標としているか。

• (この検索はなくてもいいような気がしたが、そうでもないようだ。)

/必要なかったケース

1.1. 毒確認

$ dig -t soa brau.jp @127.0.0.1

; <<>> DiG 9.16.1-Ubuntu <<>> -t soa brau.jp @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54866
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;brau.jp.                       IN      SOA

;; ANSWER SECTION:
brau.jp.                120     IN      SOA     ns.brau.jp. tss.e-ontap.com. 2020082501 3600 600 86400 60

;; Query time: 216 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: 日  8月 30 07:02:22 JST 2020
;; MSG SIZE  rcvd: 90

このSOAは正規のサーバーから取り出したもののはずだ。(キャッシュにあったものではない。)

• それでも安心できないのはなぜか。prefetch機能が動いているのか。

1.2. 前段

上の検索に先立って、以下の検索が行われているはずだ。キャッシュが空などの必要な理由があれば。

• brau.jp のNS情報が必要だから。

$dig -t ns brau.jp @a.dns.jp

つまり、brau.jp のNS(+glue) を取得して、zone cut 情報として記録するのが目的だと言える。

• 結果は重要ではないということか。(NSは一致しているから、問題なし。glueが問題だ。)

以降brau.jpゾーン下の検索には

• brau.jp NS ns.brau.jp (と ns.brau.jp A 150.42.6.4 )が使われる。

毒が効いているということだと、以下が使われていることになる。

• ns.brau.jp A 150.42.6.9

1.3. 正規のNS返答

$ dig -t ns brau.jp @150.42.6.4

; <<>> DiG 9.16.1-Ubuntu <<>> -t ns brau.jp @150.42.6.4
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58268
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;brau.jp.                       IN      NS

;; ANSWER SECTION:
brau.jp.                180     IN      NS      ns.brau.jp.

;; ADDITIONAL SECTION:
ns.brau.jp.             120     IN      A       150.42.6.4

;; Query time: 12 msec
;; SERVER: 150.42.6.4#53(150.42.6.4)
;; WHEN: 日  8月 30 07:17:59 JST 2020
;; MSG SIZE  rcvd: 69

1.4. 毒はどこから

毒がなぜ入るのか。(入るのではなく、毒が残っているというのがtssさんの説らしい。)

• ns.brau.jp NS のアドレスはどこから得られたか。

$ dig -t txt brau.jp @127.0.0.1

; <<>> DiG 9.16.1-Ubuntu <<>> -t txt brau.jp @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63009
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;brau.jp.                       IN      TXT

;; ANSWER SECTION:
brau.jp.                60      IN      TXT     "NG"

;; Query time: 12 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: 日  8月 30 07:02:35 JST 2020
;; MSG SIZE  rcvd: 51

1.5. さらなる毒は ?

NS自身も乗取れるか。