## page was renamed from DNS/KnotResolver/brau.internat.jp/brau.jpを乗取る/第二段 = brau.jpを乗取る/第二段 = 以下の結果を出力するために、リゾルバー内部ではなにが起きているか。 <> あるいは、以下の検索はなにを目標としているか。 (この検索はなくてもいいような気がしたが、そうでもないようだ。) [[/必要なかったケース]] == 毒確認 == {{{ $ dig -t soa brau.jp @127.0.0.1 ; <<>> DiG 9.16.1-Ubuntu <<>> -t soa brau.jp @127.0.0.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54866 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;brau.jp. IN SOA ;; ANSWER SECTION: brau.jp. 120 IN SOA ns.brau.jp. tss.e-ontap.com. 2020082501 3600 600 86400 60 ;; Query time: 216 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: 日 8月 30 07:02:22 JST 2020 ;; MSG SIZE rcvd: 90 }}} このSOAは正規のサーバーから取り出したもののはずだ。(キャッシュにあったものではない。) それでも安心できないのはなぜか。prefetch機能が動いているのか。 == 前段 == 上の検索に先立って、以下の検索が行われているはずだ。キャッシュが空などの必要な理由があれば。 brau.jp のNS情報が必要だから。 {{{ $dig -t ns brau.jp @a.dns.jp }}} つまり、brau.jp のNS(+glue) を取得して、'''zone cut''' 情報として記録するのが目的だと言える。 結果は重要ではないということか。(NSは一致しているから、問題なし。glueが問題だ。) 以降brau.jpゾーン下の検索には brau.jp NS ns.brau.jp (と ns.brau.jp A 150.42.6.4 )が使われる。 毒が効いているということだと、以下が使われていることになる。 ns.brau.jp A 150.42.6.9 == 正規のNS返答 == {{{ $ dig -t ns brau.jp @150.42.6.4 ; <<>> DiG 9.16.1-Ubuntu <<>> -t ns brau.jp @150.42.6.4 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58268 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 512 ;; QUESTION SECTION: ;brau.jp. IN NS ;; ANSWER SECTION: brau.jp. 180 IN NS ns.brau.jp. ;; ADDITIONAL SECTION: ns.brau.jp. 120 IN A 150.42.6.4 ;; Query time: 12 msec ;; SERVER: 150.42.6.4#53(150.42.6.4) ;; WHEN: 日 8月 30 07:17:59 JST 2020 ;; MSG SIZE rcvd: 69 }}} == 毒はどこから == 毒がなぜ入るのか。(入るのではなく、'''毒が残っている'''というのがtssさんの説らしい。) ns.brau.jp NS のアドレスはどこから得られたか。 {{{ $ dig -t txt brau.jp @127.0.0.1 ; <<>> DiG 9.16.1-Ubuntu <<>> -t txt brau.jp @127.0.0.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63009 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;brau.jp. IN TXT ;; ANSWER SECTION: brau.jp. 60 IN TXT "NG" ;; Query time: 12 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: 日 8月 30 07:02:35 JST 2020 ;; MSG SIZE rcvd: 51 }}} == さらなる毒は ? == NS自身も乗取れるか。