7. Sicherheitsüberlegungen (Security Considerations)

Die in diesem Dokument beschriebene Technik kann gegen einen Denial-of-Service-Angriff namens "random qnames" (zufällige qnames) helfen, der in Abschnitt 4 beschrieben wird.

The technique described in this document may help against a denial-of-service attack named "random qnames" described in Section 4.

Wenn ein Resolver die Antworten nicht mit DNSSEC validiert, oder wenn die Zone nicht signiert ist, kann der Resolver natürlich mit einem falschen NXDOMAIN vergiftet werden, wodurch ein Teil des Domainnamen-Baums "gelöscht" wird. Dieser Denial-of-Service-Angriff ist bereits ohne die Regeln dieses Dokuments möglich (aber "NXDOMAIN-Cut" kann seine Auswirkungen verstärken). Die einzige Lösung ist die Verwendung von DNSSEC.

If a resolver does not validate the answers with DNSSEC, or if the zone is not signed, the resolver can of course be poisoned with a false NXDOMAIN, thus, "deleting" a part of the domain name tree. This denial-of-service attack is already possible without the rules of this document (but "NXDOMAIN cut" may increase its effects). The only solution is to use DNSSEC.