• 噂のツールの内容をキャプチャーしてみた

※check
check の際には、以下の query を送信し、レスポンスを確認

• Name: spoofprobe-check-1-20359735505.red.metasploit.com
• Name: spoofprobe-check-2-20359677957.red.metasploit.com
• Name: spoofprobe-check-3-20359402390.red.metasploit.com
• Name: spoofprobe-check-4-20359972463.red.metasploit.com

• recursive query の結果を確認してチェック

※攻撃内容

• 適当なホストのquery を投げておき、再起的名前解決をさせる
• 上記の、response内の additional record に嘘の情報を記載し、「Transaction ID」を変更しながら、偽のresponse を返信

• なるほど・・、だから対応策として、「recursive query 」を制限することでいくらか対応可能なのね・・

• とりあえず、手持ちのものは、「recursive query を拒否する」などで対応し、おってバージョンアップで対応予定
• 「additional record」情報が優先されるため、ポイズニングが成立するってのがDNS実装の問題ですね