## page was renamed from DNS/KnotResolver/brau.internat.jp/brau.jpを乗取る/brau.jpの返答 = DNS/KnotResolver/brau.internat.jp/brau.jpを乗取る/brau.jpの返答 = $ dig -t ns brau.internat.jp の直後に $ dig -t ns brau.jp を試す。 このbrau.jpゾーンへのアクセスがどのような順序でおきるか。 それを追いかけることも重要だ。 [[/奇妙なSOA]] == 1.1.1.1 の場合 == {{{ $ dig -t ns brau.jp @1.1.1.1 ; <<>> DiG 9.16.1-Ubuntu <<>> -t ns brau.jp @1.1.1.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25930 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1232 ;; QUESTION SECTION: ;brau.jp. IN NS ;; ANSWER SECTION: brau.jp. 180 IN NS ns.brau.jp. ;; Query time: 15 msec ;; SERVER: 1.1.1.1#53(1.1.1.1) ;; WHEN: 土 8月 29 12:00:07 JST 2020 ;; MSG SIZE rcvd: 60 }}} == 手元 permissive == この返答をもらった直後の検査 brau.internat.jp. 300 IN NS ns.brau.internat.jp. {{{ $ dig -t soa brau.jp @127.0.0.1 ; <<>> DiG 9.16.1-Ubuntu <<>> -t soa brau.jp @127.0.0.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39078 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;brau.jp. IN SOA ;; ANSWER SECTION: brau.jp. 2560 IN SOA fake.brau.jp. hostmaster.brau.jp. 1598667800 16384 2048 1048576 2560 ;; Query time: 16 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: 土 8月 29 12:08:00 JST 2020 ;; MSG SIZE rcvd: 88 }}} この返事はおかしいが。(どこかで、NSが変更されているのか。) {{{ $ dig -t ns brau.jp @127.0.0.1 brau.jp. 29 IN NS ns.brau.jp. }}} {{{ $ dig -t a fake.brau.jp @127.0.0.1 fake.brau.jp. 300 IN A 150.42.6.9 }}} などから、毒が効いていることに間違いはない。 Knot Resolverがキャッシュの委譲情報を問い合わせ返答に使っていると推測した。 なぜ、権威あるNSレコードを取り出さないのか。permissiveの害か。-- ToshinoriMaeno <> == 毒が入らなかった場合 == {{{ $ dig -t soa brau.jp @127.0.0.1 ; <<>> DiG 9.16.1-Ubuntu <<>> -t soa brau.jp @127.0.0.1 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60000 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;brau.jp. IN SOA ;; ANSWER SECTION: brau.jp. 120 IN SOA ns.brau.jp. tss.e-ontap.com. 2020082501 3600 600 86400 60 ;; Query time: 12 msec ;; SERVER: 127.0.0.1#53(127.0.0.1) ;; WHEN: 土 8月 29 12:01:47 JST 2020 ;; MSG SIZE rcvd: 90 }}} == もし毒盛されたなら == {{{ $ dig -t ns brau.jp @150.42.6.9 ; <<>> DiG 9.16.1-Ubuntu <<>> -t ns brau.jp @150.42.6.9 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27862 ;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; QUESTION SECTION: ;brau.jp. IN NS ;; ANSWER SECTION: brau.jp. 300 IN NS fake.brau.jp. ;; ADDITIONAL SECTION: fake.brau.jp. 300 IN A 150.42.6.9 ;; Query time: 12 msec ;; SERVER: 150.42.6.9#53(150.42.6.9) ;; WHEN: 土 8月 29 12:04:42 JST 2020 ;; MSG SIZE rcvd: 60 }}}