1. kresd/akamai
Knot resolverのqname minimisationがakamai下の名前をどう探索するか。
- そして、Mueller手法によるNS毒にどう対抗すべきか、考える。
探索例:www.apple.com.edgekey.net.globalredir.akadns.net
2. net, akadns.net ゾーン
これらはよく参照されるので、zone cutとして既知であるとする。
3. globalredir NS query
CNAME返答が返るのでzone cutではない。
- QUERY_NO_MINIMIZATIONがonになって、
akadns.net NSに www.apple.com.edgekey.net.globalredir.akadns.net A を問い合わせる。
- 正規の返事はCNAMEであり、次はそのCNAMEの名前解決に進む。
4. 毒盛攻撃
akadns.net NSからの返答を装い、以下の名前に現れる任意のノードに毒を入れられそうだ。
- www.apple.com.edgekey.net.globalredir[.akadns.net]
5. 対策
minimization offでdelegation返答が返ったときには、
- NS返答のラベル(ターゲットではないとして)に対して、
- minimization on の状態に戻って、探索を再開するのがより安全である。
これなら、対応する修正も簡単だし、探索の手間も少ないだろう。
-- ToshinoriMaeno 2017-06-07 00:33:26