奇妙な DNS 設定例
- DNSSEC ダウングレード攻撃検証用 fake.ed448.mufj.jp (無署名), fake2.ed448.mufj.jp (偽署名) , fake2.rsa.mufj.jp (鍵は RSA、署名は ED448) ...New!
- この NXDOMAIN を信じてよい? (参照): dig -t a c.uecac.jp @ns.uecac.jp +norec
- 同上 (参照): dig -t a cname.small-is-beautiful.jp @ns.small-is-beautiful.jp +norec
- CNAME に付随する A を信じてはいけない (参照): dig f.uecac.jp @ns.uecac.jp +norec
- この TXT は何? (参照): elb.amazonaws.com. 300 IN TXT "RFC7816 - do not remove"
- 上記が未対応の例 / 間違った NXDOMAIN (NODATA であるべき) (DNSVIZ): dig ns is.aist.go.jp ; dig a www.is.aist.go.jp
- この TXT は何? (参照、参照2): gouv.fr .86400 IN TXT "broken ENT was here !!!"
- +nocd にすると Unbound や 9.9.9.9 が SERVFAIL (参照): dig insecure.mufj.jp +noall +comm +ans +cd
- 上記関連 / jp.sharp を SERVFAIL にしない DNSSEC は信用できないのではないか? 偽 sharp ゾーンが応答していると解釈できる
- これも SERVFAIL する実装としない実装がある (参照): dig hoge.gov.mufj.jp @1.1.1.1
- これで毒が入る実装があった (参照, 参照2): dig txt hoge.sub.mufj.jp @ns.sub.mufj.jp
- この委任応答には毒が入れられるかも (参照, 参照2): dig small-is-beautiful.jp @a.dns.jp
- Sibling domain の glue は信じて良いのでしょうか? (上記関連): dig txt tkix.net @1.1.1.1
- 1.1.1.1 は安全なのでしょうか? (参照): dig -t txt brau.internat.jp @1.1.1.1
- ISPのDNSキャッシュサーバはTTLを越えてキャッシュを保持するか?: a.t.e-ontap.com
- NS 移転実験用 (参照): d.t.e-ontap.com
- 移転インジェクション脆弱性の確認方法: flip.e-ontap.com
- DNSSEC署名検証しているかの確認用 (参照): dig dnssec-failed.mufj.jp
- 親と子のどちらの NS を選ぶか? (参照): dig a rand.orphan.e-ontap.com
- CNAME はどこまで辿れるか? : dig c1.internot.jp ... dig c30.internot.jp
- これは一応引けます : dig http://www.sub.small-is-beautiful.jp.
- 内部名での逆引きゾーンの設定方法 (参照): dig ns 0-63.6.42.150.in-addr.arpa
- DNSCURVE : dnscurve.jp
- 親子の名前の相違が BIND で SERVFAIL に至る: www.diffns.internot.jp.
by T.Suzuki