Name Server 総合スレ【DNS】

**名無しさん＠お腹いっぱい。** · 2008/11/26(水) 01:14:36

立ててみるだよもん

●主なオープンソース
BIND
ttps://www.isc.org/software/bind
djbdns
ttp://djbdns.qmail.jp/
NSD
ttp://www.nlnetlabs.nl/projects/nsd/
Unbound
ttp://unbound.net/

●規格
RFC1034, 1035
ttp://www.ietf.org/rfc/rfc1034.txt
ttp://www.ietf.org/rfc/rfc1035.txt

●アプライアンス
Nominum
ttp://www.nominum.com/
Infoblox
ttp://www.infoblox.co.jp/

**名無しさん＠お腹いっぱい。** · 2011/07/06(水) 22:55:33.70

BINDここまで品質悪いのは何でだぜ？
BIND10になれば良くなるんだろうか

**名無しさん＠お腹いっぱい。** · 2011/07/06(水) 23:44:52.33

月刊『重複をお許しください』

**名無しさん＠お腹いっぱい。** · 2011/07/07(木) 07:36:11.78

なんでtar玉が7M近くも有る、そこまで複雑なことやってるか？
修正箇所を含めてコメントがさっぱり無いので検証が面倒い
しかし代替品も中途半端なものばかり

**名無しさん＠お腹いっぱい。** · 2011/07/07(木) 10:15:38.26

bind捨てれば幸せ
かも

**名無しさん＠お腹いっぱい。** · 2011/07/07(木) 10:19:06.05

tar 玉の中身を見ればわかるけど、ソース以外のものがほとんどだよ。
ドキュメントだけで10MBとか、テストツールだけで5MBとか。

**名無しさん＠お腹いっぱい。** · 2011/07/07(木) 14:03:42.61

以下のやりとりの中で、「9.4以下はコード上に脆弱性はあるけど、攻撃方法が見つかっていないし、安全そうだから、発表しないんだよ。」っという結論に達していいのだろうか。

ttps://lists.isc.org/pipermail/bind-users/2011-July/084368.html

**名無しさん＠お腹いっぱい。** · 2011/07/07(木) 16:26:21.08

潜在的に穴はあるけど、外からはその穴をつつけないから危険ではない。
……というところまではいいけど、発表しないんじゃなくて、
その穴を直した修正版をそのうちリリースする、とあるね。
たぶんそれが 9.4 の最終版になるのかな。

**名無しさん＠お腹いっぱい。** · 2011/07/07(木) 22:20:42.19

で、実証コードは？

**名無しさん＠お腹いっぱい。** · 2011/07/07(木) 22:34:38.76

実証できていないから安全ですｗ
安全だから対応しなくていいんですｗ

**名無しさん＠お腹いっぱい。** · 2011/07/07(木) 23:09:45.19

実際問題として修正されたのは9.4には無い部分のコードだからな
というわけで本当に>>643

**名無しさん＠お腹いっぱい。** · 2011/07/08(金) 11:41:30.14

>>651
この場合のwillは、「予定」ではなく、「願望」だと思われ。
従って、修正版は出ない。

**名無しさん＠お腹いっぱい。** · 2011/07/08(金) 15:53:43.75

>>655
9.4-ESV-R5rc1 出ました

**名無しさん＠お腹いっぱい。** · 2011/07/08(金) 16:53:05.84

>>656
これまた、失礼いたしました。
rhel の9.2は平気なの？

**名無しさん＠お腹いっぱい。** · 2011/07/08(金) 17:10:44.31

>>657
http://www.isc.org/software/bind/security/matrix
redhatがパッチをバックポートしてるだろうから最新のRPMを使ってるかぎりは
たぶん大丈夫だろうけど、少なくとも素の 9.2 はとても使えたもんじゃない。

**名無しさん＠お腹いっぱい。** · 2011/07/08(金) 21:03:47.52

>>655
キリッ！

**名無しさん＠お腹いっぱい。** · 2011/07/09(土) 09:32:02.50

>>656
いやいや、cve-2011-2464,2425関係ないアップデートじゃないか？changelogに何も書いてないし

**名無しさん＠お腹いっぱい。** · 2011/07/09(土) 09:32:59.64

>>654
が正しいのかな？

**名無しさん＠お腹いっぱい。** · 2011/07/09(土) 09:55:53.36

>>655 は出たらアップデートしなくちゃいけなくて面倒だから
出ないでほしいなぁという655と俺の願望

**名無しさん＠お腹いっぱい。** · 2011/07/09(土) 09:56:59.72

>>661 今回の穴だけに限って言えばね

**名無しさん＠お腹いっぱい。** · 2011/07/09(土) 17:32:29.29

>>660
節穴ですか？

ttp://ftp.isc.org/isc/bind9/9.4-ESV-R5rc1/RELEASE-NOTES-BIND-9.4-ESV.html

Bug Fixes
9.4-ESV-R5rc1
? Improved the mechanism for flagging database entries as negative cache records;
the former method, RR type 0, could be ambiguous. [RT #24777]

**名無しさん＠お腹いっぱい。** · 2011/07/09(土) 17:36:24.11

BUGではあるがSECURITYでないのがみそということね。

**名無しさん＠お腹いっぱい。** · 2011/07/09(土) 18:58:49.07

>>665
正解

**名無しさん＠お腹いっぱい。** · 2011/07/11(月) 09:19:02.46

>>663
いや、validator.cに同等の修正が入ってる

**名無しさん＠お腹いっぱい。** · 2011/07/11(月) 21:26:30.75

>>644にすべて書いてあるのに何ごちゃごちゃ言ってんだよ。

**sage** · 2011/07/12(火) 21:25:18.97

DNS Invalid Compress DoS とか

**名無しさん＠お腹いっぱい。** · 2011/07/12(火) 22:54:06.65

高尚な話題の所、しょうもないこと聞いていい？

host.a.example.com, host.b.example.com の両方によくアクセスするので、
検索ドメインの設定を example.com にしておいて、
host.a や host.b の名前でアクセスするのは、
スタブリゾルバやOS・アプリの実装に依存した方法？

**名無しさん＠お腹いっぱい。** · 2011/07/16(土) 06:35:27.68

ホスト名が一段深いのはどうなのかってこと？

**名無しさん＠お腹いっぱい。** · 2011/07/16(土) 12:41:15.10

>>670
その環境で楽したいだけなんでしょ?
環境依存かどうか気にしてもしょうがないんじゃない?

**名無しさん＠お腹いっぱい。** · 2011/08/01(月) 21:37:17.56

質問があるのですがbomd9.4.3から
最新のbind9.8.0-p4に更新したら
名前解決が遅くなりました。
解決方法はありますか？

**名無しさん＠お腹いっぱい。** · 2011/08/01(月) 21:38:55.02

間違えました。
bind9.4.3から9.8.0-p4でした

**名無しさん＠お腹いっぱい。** · 2011/08/01(月) 22:14:09.31

named -4
で起動

**名無しさん＠お腹いっぱい。** · 2011/08/19(金) 07:05:31.69

bomd 9.4.3　はいいね

**名無しさん＠お腹いっぱい。** · 2011/08/19(金) 08:13:12.20

何それ

**名無しさん＠お腹いっぱい。** · 2011/08/19(金) 08:30:02.96

中だけ（右手だけ？）ずれている感じか

**名無しさん＠お腹いっぱい。** · 2011/08/19(金) 10:57:35.48

なんかバクハツしそうだね

**名無しさん＠お腹いっぱい。** · 2011/08/23(火) 12:07:48.65

しかもdaemonっぽい

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 18:27:32.12

NSレコードがよく分からないので教えてください
ドメイン業者のレンタルDNSレコードを使わずに自分でDNS鯖を立てたいのですが、
mydomain.comというドメインを取得し、ns1.mydomain.comとns2.mydomain.comというDNS鯖を立てるとき
mydomain.comのNSレコードにns1.mydomain.comとns2.mydomain.comを指定しますよね
その場合ns1.mydomain.comとns2.mydomain.comはAレコードを持っていなければいけないようですが、
そのns1のAレコードはどこで設定するのでしょう？
ns1はmydomain.comの下位にあるのでそれを管理するのはmydomain.comのNSレコードで設定したns1mydomain.com…
となって名前解決できなくならないのはなぜですか？

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 18:36:54.53

>>681
mydomain.comなら今現在 NSレコードも Aレコードも引けるね。
つまり、自己解決されたんですね、おめでとうございます。

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 18:39:52.24

いや、例えで出しただけです
実在するドメインだったんですかすみません

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 19:33:38.40

このスレには昔から「例示のドメインには example.com とか使え」教のキチガイが棲みついてて
嫌がらせだけが目的の何の役にも立たない >>682みたいなレスしてくるから気をつけるんだな

>>681 それを解決するのがglue レコード。
http://ja.wikipedia.org/wiki/Glue_Record
良い説明が見つからんなぁ

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 20:13:19.22

>>684
それ系のメーリングリストも一緒に購読しておくと
名無しでもそれをやってるのが誰なのか見当が付いてくるｗ

まぁ他人のドメインを使っちゃうのはまずいとは思うけどね。
Hoge Lumber Companyさんのドメインとかｗ

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 20:19:43.64

Glueレコードですか、なるほど
その設定をレジストラのサイトで探せばいいわけですね、わかりました
ありがとうございます

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 20:24:04.38

>>684
rootサーバが使ってると思われるゾーンファイルは
各トップレベルドメインのNSがずらーっと書いてあって
さらにその下にそのNSが指してる名前のAやAAAAも
ずらーっと書いてあるね。

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 21:08:12.43

運用上はどうでもいい疑問かもしれませんが、
NSレコードの設定ってTLDを管理してるネームサーバに直接記録されるんですか？
それともレジストラのネームサーバに記録されるんですか？

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 23:07:19.92

>>688
「TLDを管理しているネームサーバ」と
「レジストラのネームサーバ」を具体的に考えれば分かる。
たぶん。

**名無しさん＠お腹いっぱい。** · 2011/08/31(水) 23:42:34.03

実在するドメインを例示に使わないのは当然のマナー。
example教は俺も嫌いだが、主張は全く正しい。

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 00:06:41.26

爺か？爺なのか！？

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 00:22:57.66

マナー(笑)

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 00:24:01.05

若さしか取り柄のないDQNが開き直りですか

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 00:48:19.25

example教が「DNS & BIND」とか見れば発狂するよなー
movie.eduとか何だよｗｗｗ
第4版まではこの体たらくだが
第5版では直ってるのかな？

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 03:35:43.46

example教の糞なところは、example.なんとかを使えとでしゃばるくせに
質問にはノータッチなところだろ。
質問に答えられないほどの無能なのに何やってんの？みたいなｗ

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 09:34:09.39

第5版でも movie.eduだよ >>694
突っ込むなら先にこっちだよね

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 19:27:45.59

俺はおっさんなのでacme.comが好きだ

**名無しさん＠お腹いっぱい。** · 2011/09/01(木) 23:51:54.41

>>697
初めて見たときはドキドキしたのを思い出した
そんな俺もおっさん

**名無しさん＠お腹いっぱい。** · 2011/09/02(金) 03:41:59.64

Plan9のエディタかと思ってどきどきしちゃった

**名無しさん＠お腹いっぱい。** · 2011/09/02(金) 07:38:11.63

打ち合わせでマニュアルの例示見ながら皆でacme連呼してたな～

**名無しさん＠お腹いっぱい。** · 2011/09/02(金) 09:46:41.52

電話番号の例示にも 0×0-1234-5678 っていうのがよく使われるが、
実在するぞ。さぞ迷惑だろうな。

**名無しさん＠お腹いっぱい。** · 2011/09/02(金) 09:54:01.85

懸賞の当選者名の例示にもセシウムさんっていうのがよく使われるが、
実在するぞ。さぞ迷惑だろうな。

**名無しさん＠お腹いっぱい。** · 2011/09/02(金) 10:16:36.43

>>701
それは実在しないだろ。

**名無しさん＠お腹いっぱい。** · 2011/09/02(金) 12:04:35.28

>>703
正規表現でないから分からないと申したか

**ひろゆき** · 2011/09/12(月) 08:21:56.06

続きはこちらで

くだらない質問はここに書き込め!なんでもアリ24
http://pc.2ch.net/test/read.cgi/unix/1053748966/

BIND その2
http://pc.2ch.net/test/read.cgi/unix/1042989999/

djb(3)
http://pc.2ch.net/test/read.cgi/unix/1047117464/

**名無しさん＠お腹いっぱい。** · 2011/09/21(水) 19:07:13.05

8.8.8.8でiPhoneが速くなった!と言ってる人がそれなりにいるということは
余程グダグダなDNSキャッシュサーバが多いってことなのかのう

**名無しさん＠お腹いっぱい。** · 2011/09/21(水) 22:34:19.67

禿携帯のインフラがクソなのは鉄板じゃないか

**名無しさん＠お腹いっぱい。** · 2011/09/22(木) 01:24:08.18

>>707
3G回線のDNS変更じゃないぞ

**名無しさん＠お腹いっぱい。** · 2011/09/22(木) 07:40:12.28

8.8.8.8とか結構改善されているかも

**名無しさん＠お腹いっぱい。** · 2011/09/22(木) 12:22:51.45

>>708
あほん興味ないから知らんかった
検索してみたら気味悪いくらい拡散してるな

禿のばらまいたアクセスポイントがキャッシュサーバになってて
キャッシュにヒットしないから遅いって話じゃないの？

**名無しさん＠お腹いっぱい。** · 2011/09/22(木) 20:03:36.76

8.8.8.8であるCDNサーバ引くとRTT倍増ｷﾀｺﾚｗ
相変わらず使えねーじゃん

**名無しさん＠お腹いっぱい。** · 2011/09/23(金) 01:40:20.25

>>706
十分にユーザ数があれば、メジャーなサイトは大体キャッシュ済み
になるので8.8.8.8がやってるプリフェッチの優位性も薄れるし、まともに
運用されているISPのDNSキャッシュのほうが総合的に良い結果になるはず
なんだけど、やっぱりまともでないキャッシュが多いんだろうなぁ

**名無しさん＠お腹いっぱい。** · 2011/09/23(金) 10:01:59.85

児ポトラップがかなりのオーバーヘッドになってそうｗ
あとIPv6関連か。

最近一発目はアドレスが存在しないエラーが出るサイトが時々ある。

**名無しさん＠お腹いっぱい。** · 2011/10/10(月) 19:05:31.08

unboundのprefechって、キャッシュにヒットしたレコードの
TTLが残り少なくなってたら裏で問い合わせをしてTTLを更新するってものなんだな
"popular items"じゃわからんつーの > マニュアル

さすがに放っておいても勝手に問い合わせして
キャッシュを維持するようにしたら怒られるか。

**名無しさん＠お腹いっぱい。** · 2011/10/11(火) 09:49:28.93

>>714
google public dnsなんかも同じようなことやってるはず。

今は確認してないが、サービス開始当時はそんな挙動をしてたよ。

**名無しさん＠お腹いっぱい。** · 2011/10/11(火) 16:36:12.33

DNSのプリフェッチは、キャッシュサーバがやるにしろクライアントが
やるにしろデメリットが大きい割にメリット少ないのでやめてほしいところ。
Unboundのプリフェッチはまだお行儀がいいほうだが、
FirefoxやChromeがやってるプリフェッチはISPのDNSキャッシュサーバの
負荷を無駄に上げるだけで、結果的に悪くなる方向に誘導しているに等しい。
ベンチマークで勝つためには必要かもしれないが。

**名無しさん＠お腹いっぱい。** · 2011/10/12(水) 09:58:20.03

>>716
ブラウザのプリフェッチとキャッシュサーバの
プリフェッチは少し意味合いが違うんじゃ？

キャッシュのは、ちゃんとTTLが切れてから普通
に1回聞きに来るだけだし、googleのだと使用頻度
に応じて、キャッシュを維持する候補から外れる
みたいだし。

ブラウザのはたしかにキャッシュに負担が掛かる
ので、はた迷惑だけどね。

**名無しさん＠お腹いっぱい。** · 2011/10/12(水) 17:41:00.76

UnboundはTTLが10%を切ったキャッシュ済みレコードにクエリが
あったときにそのレコードをプリフェッチする。すべての
DNSキャッシュサーバがUnboundのプリフェッチをするようになると
人気があるドメインのDNS権威サーバの負荷が10%上がる。

Unboundのプリフェッチはデフォルトでオフだし、unboundあまり
普及していないから問題にはならないけど、同じことをBIND9でデフォルトで
オンで実装されると困る人が出てくるかも。
ブラウザのプリフェッチほどひどくないけど。

**名無しさん＠お腹いっぱい。** · 2011/10/13(木) 10:23:16.97

>>718
たしかに負荷はあがるけど、自分が管理してる
ドメインへのクエリのレスポンス速度が他人の
キャッシュでも上がると考えれば、うれしい人
もいるかも？

キャッシュが落ちてる時の初回応答ってかなり
時間掛かったりするから、その辺が改善される
ならば、自分的にはうれしい。

**名無しさん＠お腹いっぱい。** · 2011/10/13(木) 13:03:54.36

プリフェッチの恩恵あるのは、そのレコードのTTLのexpire直後に同じクエリを
出すことになる最初のユーザのみ。2人目以降は、
人気があるドメインやキャッシュサーバならキャッシュ済み、
そうでなければやっぱりexpireしてるかのどちらか。

Unboundのプリフェッチの実装は悪くは無いと思うけど、そのTTL切れ
直後の1ユーザのためだけに、キャッシュ・権威双方で10%の負荷を
上げてまでやるほどのメリットがあるかは微妙だと思う。
もう少し厳密に評価はしたほうがいいけど。

**名無しさん＠お腹いっぱい。** · 2011/10/13(木) 19:00:00.60

負荷の高いキャッシュだと、初回応答の遅れが
他への影響が大きくなるパターンとかがあった
希ガス。

BINDだと、スレッドの大半がそのサイトの応答
待ちになって他のクエリが…とか、dnscacheだと
シングルスレッドの待ち行列が詰まるとかそんな
話を聞いたような？

いずれにせよ、聞いた話なので、確かに厳密な
検証は必要ですね。

つーか、そろそろUnboundを真面目に検証する
時間が欲しい。いい加減業務でも使ってみたい。

**名無しさん＠お腹いっぱい。** · 2011/10/13(木) 19:56:48.10

づぴぴｗｗづぐうぃｗちゆうぃｗぴうぃｗ

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 03:29:52.55

昔のことはあまり知らないけど、数万qpsのクエリを処理するキャッシュサーバ
運用してる立場から言わせてもらえば、パケット再送やlame delegationで再帰
問い合わせに時間がかかるケースは頻発するので、それくらいで待ち行列が
溢れて黙りこんでしまうキャッシュサーバは今時有り得ないですね。

Unboundは速いしセキュリティホール少なくていいんだけど、
BINDでは引けるがUnboundで引けないドメインが何個か見つかっているのが心配。
だいたい権威サーバ側の問題なんだけど、BINDは権威サーバの問題に
寛容であの手この手で頑張って引いてくれる。Unboundはかなり
厳格で引けなかったりする。いくら権威サーバ側の問題でも、
お客さんにとっては引けないよりも引けるほうがいいからね。

たとえば Unbound users MLでも出てるけど、BINDとUnboundの
DNSSEC規格解釈の差が原因で、DNSSEC ONのUnboundでは faa.gov が
引けない (BINDでは引ける) 問題は絶賛進行中。

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 10:29:29.88

dnscacheは同時クエリー上限がUDP 200、TCP 20になってる。
この程度は大規模なキャッシュサーバだとわりと簡単に溢れる。
この値はハードコーディングされてて設定ではいじれない。

**tss** · 2011/10/14(金) 10:53:52.70

寛容というかいいかげんだからおかしなドメインが溢れかえるし、毒入れなんかもおきやすくなる。
BINDが寛容にみえるのは、過去仕様をころころかえている自分を許すため。
過去には、バグで毒入れできるのをDNSの仕様が悪いなんて嘘をついてもいるし。
これについてはまだ真相は表では語られていない。

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 14:35:26.00

>>724
dnscacheっていうかdjbの思想として、
1台のDNSキャッシュに多数のクライアントぶら下げるんじゃなくて
各自ローカルのキャッシュ動かせ、というのがあった気がする
大規模キャッシュという使い方はあまり想定していないように見える

>>725
その真相を語ってくれよ先生

**名無しさん＠お腹いっぱい。** · 2011/10/14(金) 18:47:12.00

マルチスレッド動作のBINDだと、キャッシュExpire後の
初回問い合わせが応答遅いと、他のスレッドで同じクエリ
を出してて応答待ち状態なのに、クエリを出しちゃうとか
はあったかも。

あと、Windowsなんかだと、優先DNSの応答が遅いとすぐに
代替DNS側にもクエリが行くので、代替に負荷が溜まりや
すかった気がする。特にネガティブキャッシュになるレコ
ードだと顕著だったかと…

まあ、ささいな話なんだふが。

>>724
昔どっかのMLでソースを改変してる人を見たような気が
したけど、何かの理由であまり効果がなくてうんぬん
とか話してた気がする。

**tss** · 2011/10/16(日) 00:16:26.83

そのうち語る予定。

**tss** · 2011/10/19(水) 17:29:55.06

>>726
昨日、DNSOPS-JP ML へ真相の一旦を流しました。
http://www.e-ontap.com/dns/bindmatrix.html

**tss** · 2011/10/20(木) 00:09:45.00

一端 orz

**名無しさん＠お腹いっぱい。** · 2011/10/20(木) 18:29:27.61

トリップつけてblogのどこかに書いておきなよ先生
ここID出ないんだから

**名無しさん＠お腹いっぱい。** · 2011/10/20(木) 19:04:32.57

こういところで自サイトの宣伝する奴はカスだな

**名無しさん＠お腹いっぱい。** · 2011/10/20(木) 20:50:12.60

書かれてることはウソではないんだろうが、
3年後にドヤ顔で言われてもなぁ
「DNSプロトコルの脆弱性てはない」
というところは議論の余地はありそうだが
議論しても何も生産的なことはなさそうなんで何も言わない

**名無しさん＠お腹いっぱい。** · 2011/10/22(土) 21:48:20.54

ほげー

**名無しさん＠お腹いっぱい。** · 2011/10/23(日) 19:38:53.40

崩壊→浸透→移行の次は
「Kaminsky attackはウソだった！」ですか
売名も大変ですね私大教員も楽じゃない

**tss** · 2011/10/24(月) 08:17:57.55

ウォッチしていてくれてありがとう ;-)

**名無しさん＠お腹いっぱい。** · 2011/10/26(水) 00:26:02.00

BIND 9.7.3-P3なんだけど、forwarders経由の情報を
ネガティブキャッシュしないっぽいんだけど設定がおかしいのかな？
NXDOMAINもNXRRSET(Aしかないドメイン大してAAAAを引いた場合)
もキャッシュしないみたいなんですが。

// named.conf はこれだけです↓
options {
forwarders { 10.0.0.1;}; // プロバイダのキャッシュサーバ
forward only;
};

**名無しさん＠お腹いっぱい。** · 2011/10/26(水) 00:28:21.10

ネガティブキャッシュしないというのは、
NXDOMAIN/NXRRSETになるパターンだと必ずプロバイダのキャッシュサーバ
に聞きに行ってるということです。ポジティブキャッシュは効いてるみたい。

**名無しさん＠お腹いっぱい。** · 2011/10/26(水) 19:31:34.97

ほんとだ。何か理由があるのかな。

**名無しさん＠お腹いっぱい。** · 2011/10/26(水) 20:15:55.47

ちょうど上でKaminsky attackの話が出てきたので思ったんだけど．．．

ポジティブキャッシュするけどネガティブキャッシュしないってことは
Aしかないドメインに、ニセのAAAAレコードを追加する攻撃が成功する
確率が上がるんじゃね

**tss** · 2011/10/26(水) 22:02:45.90

良いところに気がつきましたね ;-)

**名無しさん＠お腹いっぱい。** · 2011/10/27(木) 00:04:49.70

あんたいつも上から目線だな

**名無しさん＠お腹いっぱい。** · 2011/10/30(日) 01:14:35.72

タイムスタンプみればわかるだろ
寂しいんだよ

**名無しさん＠お腹いっぱい。** · 2011/10/30(日) 17:16:01.51

「浸透いうな」が言葉狩り扱いされて残念でしたね先生
その上から目線の態度じゃ仕方ないけどね