[connect24h:3298] Re: 個人運用の DNS にセカンダリは必要ない

[kobayasi@xxxxxxxxxxxxxxxxxxxx]

こばやしです

In message <vtr3cz8e42y.wl@xxxxxxxxxxxxxxxxxxx>
sakichan@xxxxxxxxxxxx wrote:
 >うーん、UDP だから、パケット落ちたらそれまでよ、というと信頼性がないの
 >で、再送を自分でやるはずですよね。

でも今回の話はいくつかのパケットがロスするとかいう話でなくて、始めから全く
通信できないという状況ですからUDPだからどうというのはないような気が...
TCPだってSYNを送ってそれっきりですよね。

とは言え、

 >ということで bind8 系だと、
 >
 >lib/resolv/res_send.c の res_nsend() 関数のなかで
 >        /*
 >         * Send request, RETRY times, or until successful.
 >         */
 >        for (try = 0; try < statp->retry; try++) {
 >            for (ns = 0; ns < statp->nscount; ns++) {
 >
 >って感じにはじまるブロックがありますね。

の指摘は説得力がありますね。ありがとうございます。少し調べてみようと思います。

 >> 逆にプライマリが死んでセカンダリだけが生きている状況では、セカンダリが
 >> ゾーン転送を要求するタイミングでIP spoofingをしかけて改竄されたゾーン情報
 >> を送り込むという手が使えてしまうような気がします。
 >
 >いやぁ、そんなんじゃなくても。
 >
 >例えばあるドメインのDNSサーバが完全に落ちてるとして、 だましたいネーム
 >サーバ(これは対象のドメインのauthorizedとは別)に IP spoofing で改竄し
 >た response をつっこむ、なんてのどうです？authorizedなDNSサーバが完全
 >に落ちてると、正しい答をつっこまれる心配をせずに 作業できそうな気がし
 >ます。

もちろんそれはそうですが、authoritativeなサーバを騙すのと、特定のネーム
サーバを騙すのとでは狙いが違いますので、どちらがより危険かは一概には比較
できませんね。

 >ただ、私はそれがどれだけ可能性があるのか定量的に評価する知識も(ある種
 >の)スキルもないので、詳しいひとを召喚してみたいなぁ、と。

というわけで私も同感です。
-- 
KOBAYASHI Yoshiaki

--[PR]------------------------------------------------------------------
とっても便利♪♪ MyPage もう使ってる？
使ってない人は今すぐ登録→ http://www.freeml.com/ctrl/html/UserRegForm
　
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp