1. djbdns/dnscache/authority
answer section がある返答のauthority/additional section が問題の発生原因です。
DNS/ghost2/dnscache : ログインしたら読めます。
dnscache なら2行のpatchにより
2. Authority Section/Additional Section を捨てる
- 結果的にNSレコードは上位からの委譲を示すもの以外はキャッシュされなくなると思います。 MaraDNS(deadwood)の動作も似たようなことでしょう。
unboundのように、キャッシュサーバ自身が委譲を検査するためにNSレコードを問い合わせている場合はわかりません。
以上の理由で、浸透問題とghost発生は同時に防御できると思います。
これらが正しければ、プロトコルで決まっていないから対策しないという、ISC BIND やJPRSの発表は間違っていることになります。
3. BIND 9.9.0 で対策ずみ
NS レコードレコードのTTLを委譲時の範囲に制限することで、回避する。
-- ToshinoriMaeno 2012-02-25 23:52:53