DNSキャッシュポイズニング
手を変え品を変えて続くDNSキャッシュ「汚染」攻撃 - ITmedia エンタープライズ
DNST[oEZL eB
http://jprs.jp/tech/material/iw2006-DNS-DAY-minda-03.pdf
DNSのドメイン名とIPアドレスのデータが伝播する途中に書き換えることで、正しくないサーバに誘導する問題だそうです。
TTLが短いと頻繁に更新するため、汚染されたデータをねじ込む機会が増えるのがまずいそうです。
つい最近仕事でTTLが比較的短いサーバを立てたのでこの辺どうなるんでしょうね。ドキドキ。
追記:
ITmedia エンタープライズ:意外と知られていない? DNSが抱えるセキュリティ問題 - まっちゃだいふくの日記★とれんどふりーく★より
DNSはUDP/53と知られていますが、512バイトを超えるクエリーはTCP/53を使います。TCP/53はDNSのゾーン転送に使われることもありFireWallで制限されていることがほとんどです。
へ〜 iptablesを調べているとtcp/53も空けているのが不思議だったのですが、そういうことだったんですね。TSIGだったかな?を導入すれば解決できるのかな?
というかキャッシュサーバと言うのを理解できていないので、調べましょう。セカンダリDNSとは別なんだとは思いますけど・・・