7. Considérations de Sécurité (Security Considerations)

La technique décrite dans ce document peut aider à contrer une attaque par déni de service nommée "random qnames" (noms de requêtes aléatoires) décrite dans la Section 4.

The technique described in this document may help against a denial-of-service attack named "random qnames" described in Section 4.

Si un résolveur ne valide pas les réponses avec DNSSEC, ou si la zone n'est pas signée, le résolveur peut bien sûr être empoisonné avec un faux NXDOMAIN, "supprimant" ainsi une partie de l'arbre des noms de domaine. Cette attaque par déni de service est déjà possible sans les règles de ce document (mais la "coupure NXDOMAIN" peut augmenter ses effets). La seule solution est d'utiliser DNSSEC.

If a resolver does not validate the answers with DNSSEC, or if the zone is not signed, the resolver can of course be poisoned with a false NXDOMAIN, thus, "deleting" a part of the domain name tree. This denial-of-service attack is already possible without the rules of this document (but "NXDOMAIN cut" may increase its effects). The only solution is to use DNSSEC.