DNS/qname-minimisation/検索例について、ここに記述してください。
/unbound の実装方法はよくない。-- ToshinoriMaeno 2019-01-04 07:52:57
JP NSがキャッシュにある状態で、www.city.nerima.tokyo.jp Aを検索してみる。/www.city.nerima.tokyo.jp
- Knot resolver 1.3.0 での記録。(tokyo.jp もゾーンでないことが判明後のようだ)
tokyo.jp, nerima.tokyo.jp ともにゾーンではない。QUERY_NO_MINIMIZEで検索することに。 city.nerima.tokyo.jp delegationは疑うことなく、受け入れている。 このことでは問題はなさそう。(同居ではないので)
-- ToshinoriMaeno 2017-06-24 00:53:42
- tokyo.jp も毒は検出できる。現状での問題はnerima.tokyo.jpに対するdelegation攻撃だ。
$ dig www.city.nerima.tokyo.jp ; <<>> DiG 9.11.1 <<>> www.city.nerima.tokyo.jp ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8447 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ; COOKIE: 21cd35b839cbe6b6264f2196594db71333b47da154140286 (good) ;; QUESTION SECTION: ;www.city.nerima.tokyo.jp. IN A ;; ANSWER SECTION: www.city.nerima.tokyo.jp. 300 IN A 27.110.42.148 ;; Query time: 41 msec ;; SERVER: 127.0.0.3#53(127.0.0.3) ;; WHEN: Sat Jun 24 09:49:23 JST 2017 ;; MSG SIZE rcvd: 97
@40000000594db71d1f4bfc5c [ 0][plan] plan 'www.city.nerima.tokyo.jp.' type 'A' @40000000594db71d1f4c94b4 [39870][iter] 'www.city.nerima.tokyo.jp.' type 'A' id was assigned, parent id 0 @40000000594db71d1f4db9ac [39870][resl] kr peekpkt nerima.tokyo.jp. ret -2 @40000000594db71d1f4dc17c [39870][resl] kr peekpkt tokyo.jp. ret -116 @40000000594db71d1f4dc17c [65412][iter] 'www.city.nerima.tokyo.jp.' type 'A' id was assigned, parent id 0 @40000000594db71d1f4e752c [65412][resl] => querying: '203.119.40.1' score: 10 zone cut: 'jp.' m12n: 'tOKyO.jp.' type: 'NS' proto: 'udp' @40000000594db71d1fb5be94 [65412][iter] <= rcode: NOERROR @40000000594db71d1fb5c27c [65412][iter] <= found cut, retrying with non-minimized name @40000000594db71d1fb5c664 [65412][ pc ] => candidate rank: 020 @40000000594db71d1fb6186c [65412][ pc ] => answer cached for TTL=900 @40000000594db71d1fb633c4 [65412][resl] <= server: '203.119.40.1' rtt: 6 ms @40000000594db71d1fb6956c [61460][iter] 'www.city.nerima.tokyo.jp.' type 'A' id was assigned, parent id 0 @40000000594db71d20cb706c [61460][iter] cut labels= 1 4 @40000000594db71d20cb7454 [61460][iter] cut labels= 1 4 @40000000594db71d20cb783c [61460][iter] <= using glue for 'ns1.city.nerima.tokyo.jp.': '202.248.77.228' @40000000594db71d20cb7c24 [61460][iter] <= referral response, follow @40000000594db71d20cbed6c [61460][ rc ] => orig. rank: 001 @40000000594db71d20cbed6c [61460][ rc ] => stashing rank: 001, NS city.nerima.tokyo.jp. @40000000594db71d20cc9564 [35115][iter] 'www.city.nerima.tokyo.jp.' type 'A' id was assigned, parent id 0 @40000000594db71d214bf6c4 [35115][resl] => querying: '202.248.77.228' score: 10 zone cut: 'city.nerima.tokyo.jp.' m12n: 'wwW.CITy.nerima.TOkYo.Jp.' type: 'A' proto: 'tcp' @40000000594db71d21c47e3c [35115][iter] <= rcode: NOERROR @40000000594db71d21c48224 [35115][ rc ] => orig. rank: 001 @40000000594db71d21c4b104 [35115][ rc ] => stashing rank: 020, A www.city.nerima.tokyo.jp. @40000000594db71d21c5495c [35115][ rc ] => orig. rank: 001 @40000000594db71d21c54d44 [35115][ rc ] => stashing rank: 020, NS city.nerima.tokyo.jp. @40000000594db71d21c5977c [ 0][resl] finished: 4, queries: 1, mempool: 16400 B