CTUのバージョンアップは不明瞭だし、なんか最近うちのプロバイダのDNSがときどき異様に遅くなるしで、この際自前でキャッシュリゾルバでも立てようかと思ってたけど、けっこう注意点が多いな。リゾルバの前にNATデバイスがある場合、NATによってソースポートのランダム性が損なわれていないかなんて問題も出てくるのか。これもまたCTUの対応待ちになってしまうな。

• 現時点では「キャッシュポイズニングが成立する確率を可能な限り下げること」がパッチ適用の目的であり、問題の根本的な解決とはなっていない
• パッチの適用後、問題が解決したかを確認するため、クエリごとにUDPソースポートが変化しているかどうか、または、リゾルバの前にNATデバイスがある場合、NATによってソースポートのランダム性が損なわれていないかなどを確認する必要がある
• Debian GNU/LinuxやFedoraでは、クエリのソースポートを固定する「query-sourceport 53;」「query-source-v6 port 53;」といった設定がnamed.confに記述されている可能性がある。この場合、該当行を削除するか、記載されているポート番号を「*」に置き換える必要がある
• クエリのソースポートがランダムに変化するようになると、今度は一部のファイアウォールやIDS（侵入検知システム）が誤動作や誤検知を起こす可能性をつぶす作業が発生