= DNS/毒盛/AncillaryDataAttacks/sibling_domain_glue毒 =
<<Navigation(children,1)>>

<<TableOfContents()>>

間違い用語： 最近ではsibling domain glueと呼ばれている。
  https://www.janog.gr.jp/meeting/janog40/application/files/3415/0146/9364/janog40-dns-fujiwara-1.pdf
 [[DNS/用語/glue/sibling glue]] (真に必要なものではないので、glueとは言いたくないが、glueを広く解釈する。)

Additional Section中のAレコードなどを受け入れると毒盛されたときの影響が大きい。

-- ToshinoriMaeno <<DateTime(2019-02-15T18:48:35+0900)>>

== 文献 ==
[[DNS/FCP]]
Amir Herzberg, Haya Shulman:
Fragmentation Considered Poisonous, or: One-domain-to-rule-them-all.org
Conference Paper (PDF Available) · October 2013 with 155 Reads


https://www.researchgate.net/publication/253954678_Fragmentation_Considered_Poisonous_or_One-domain-to-rule-them-allorg

== 例 ==
{{{
$dig www.small-is-beautiful.jp @a.dns.jp
}}}

Additional Section中の
nsa.dns.jpのAレコードをキャッシュに入れていたら、そのリゾルバーは危ない。(BIND, Unboundなど)

== 危険度 ==
ns*.dns.jpは通常のリゾルバーではキャッシュされていることは稀でしょう。
　つまり、毒盛される危険度はかなり大だと考えます。

== 対策 ==
sibling domain glueを受け入れないようにするには、
　unboundではharden-referral-path=yes に設定するのがいいでしょう。

  BINDには同様のオプションは見当たりません。ご愁傷さま。

-- ToshinoriMaeno <<DateTime(2019-02-15T20:24:00+0900)>>