新城@筑波大学情報です。こんには。

VeriSign が、DNS のワイルドカードの機能を利用して勝手に自分
の所の IP アドレスを返すようにした話に関連して、それを無効化
する技術の話です。

In article <bkg99b$18il$1@LAXSRV.moat.net>
        vg30de@moat.net (Hidenori HoRi) writes:
>  > http://www.isc.org/products/BIND/delegation-only.html
> ということで、早速 BIND 9.2.2-P1 にしてみました。(パッチあてました)

これは、パッチをあてだけで聞くようになるんですか。
上のページには、こんな設定があったのですけれど。
------------------------------------------------------------
zone "foo" { 
     type delegation-only; 
};
------------------------------------------------------------
.com のために、設定する必要があるのでしょうか?

delegation-only という考え方が、今一つ理解していないんですけ
れど。

http://www.isc.org/products/BIND/delegation-only.html
------------------------------------------------------------
Briefly, a zone which has been declared
"delegation-only" will be effectively limited to containing
NS RRs for subdomains, but no actual data outside its apex
(for example, its SOA RR and apex NS RRset). This can be
used to filter out "wildcard" or "synthesized" data from NAT 
boxes or from authoritative name servers whose undelegated
(in-zone) data is of no interest.

あるゾーンが "delegation-only" と宣言されていると、サブドメ
インに関して NS の資源レコードを含むことを実質的に制限します。
配下の範囲外のデータをのぞいて。(たとえば、そのSOA レコード
と配下の NS 資源レコードなど。)この仕組みは、ワイルドカード、
または、 NAT ボックスなどにより合成されたデータ、または、そ
のゾーン内のデータが不要な権威のある名前サーバからデータを取
り除くために使えます。
------------------------------------------------------------

続きは、Followup-To: fj.net.ip.dns でお願いします。

\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報       \\