tri*_*eee 6 domain-name-system dns-zone
我正在调查一堆垃圾邮件域,但没有一个具有 SOA 记录。我以前从未见过这种情况——我什至不知道这是可能的。
如果没有 SOA 记录,DNS 如何工作?如果它不是绝对必要的,那么省略它的含义是什么?
我并不特别想添加垃圾邮件站点的链接,但一个示例域是“vance miller kitchens uk dot co dot uk”。
事实上有一个SOA记录,它只是不是你所期望的。让我们来看看 AUTHORITY 部分...请记住,这ns1.nservers.co.uk.与nic.uk.域名服务器没有任何关联,后者对co.uk..
$ dig @ns1.nservers.co.uk. +norecurse +noall +authority vancemillerkitchensuk.co.uk SOA
co.uk. 3600 IN SOA win-k7rk0hedad1. hostmaster. 6 900 600 86400 3600
$ dig @ns1.nservers.co.uk. +norecurse +short co.uk SOA
win-k7rk0hedad1. hostmaster. 6 900 600 86400 3600
这背叛了他们的实际配置:他们co.uk定义了一个区域。这简化了他们的配置,因为他们只需要维护一个文件。您没有得到SOA请求的答案部分的原因是因为那不是区域的真正顶部。请记住,这是一个糟糕的配置:您永远不应该假装对您不是的域具有权威性。不要效仿这个。
SOA记录是强制性的。如果您希望互联网的其余部分与您一起玩得很好,您必须在 RFC 要求的那个 AUTHORITY 部分填充一些东西。显然,它们并不是真正的权威co.uk,但这至少告诉其他名称服务器负 TTL 应该是什么。
SOA根据 DNS 规范,子名称服务器上每个区域的顶点处的记录是强制性的,请参阅RFC 2181 的 \xc2\xa76.1:
\n\n区域的权威服务器在区域来源的 NS 记录中枚举,该记录与权威开始 (SOA) 记录一起是每个区域中的强制记录。\n这样的服务器对所有资源都是权威的一个区域中的记录\n但不在另一个区域中。
\n
没有 SOA 的区域不符合 DNS。\n名称服务器将在加载时拒绝它:
\n$ cat example.com \nexample.com. 1 NS a.example.\nexample.com. 1 NS b.example. \n\n$ named-checkzone example.com example.com \nzone example.com/IN: has 0 SOA records\nzone example.com/IN: not loaded due to errors.\n也许你可以找到一个可行的设置,但为什么要冒险呢?
\n除了根据规范强制执行之外,SOA 记录中至少还有客户端需要的 3 项(所有其他项大多仅对名称服务器管理员有用,如果其名称服务器集使用 AXFR/IXFR/DNS 更新来更新自身) :
\n通常是RNAME该区域负责人的电子邮件地址,出现问题时您可以联系该地址;不幸的是,现在您可能无法在那里得到答案,或者它甚至可能不是有效的现有邮箱,因此理论上有用,但实际上不确定
DNS 更新需要RFC 2616MNAME的 \xc2\xa74.3 :
\n\n4.3. 如果请求者有合理的理由相信所有区域的服务器都可以同等访问,那么它应该首先安排尝试主要主服务器(如果与某些 NS NSDNAME 匹配,则由 SOA MNAME 字段给出)以避免从属服务器内部进行不必要的转发。(请注意,在某些情况下,由于防火墙或网络分区,所有请求者都无法访问主主机。)
\n
MINIMUM在过去一年中被重新定义为“负 TTL”,即缓存可以保留NXDOMAIN其收到的回复的时间量(因为NXDOMAIN 回复不会在每个定义的答案部分中返回任何记录,因此不会有有任何 TTL 可以找到)。请参阅RFC 2308的 \xc2\xa75 :\n\n与正常答案一样,否定答案也有一个生存时间 (TTL)。由于应答部分中没有可以应用此 TTL 的记录,因此必须通过其他方法携带 TTL。这是通过在回复的权限部分包含来自区域的 SOA 记录来完成的。当权威服务器创建此记录时,其 TTL\n 取自 SOA.MINIMUM 字段和 SOA TTL 的最小值。\n此 TTL 递减方式与普通缓存答案类似,\n当达到零 (0) 时表示不得再次使用缓存的否定答案。\n
\n
正确缓存NXDOMAIN回复对于性能非常重要,如RFC 8020“NXDOMAIN:下面确实没有任何内容”中所述:如果名称触发NXDOMAIN回复,则递归名称服务器可以在缓存条目期间立即回复所有名称”下面”的查询,因为它知道下面不能存在任何名称,根据 DNS 设计,所有名称都在一棵树中。
此外,多个注册中心会在允许进行委派之前测试配置。英国的情况并非如此,但 DENIC (.DE) 的情况却是这样。请参阅https://www.denic.de/fileadmin/public/documentation/DENIC-23p_EN.pdf中的 \xc2\xa72.1.4 ,其中概述了 SOA 测试。
\n各种工具也会对其进行检查。请参阅https://zonemaster.net/上的 Zonemaster以及https://github.com/zonemaster/zonemaster/blob/master/docs/specifications/tests/Delegation-TP/delegation06.md上的 SOA 测试说明
\n| 归档时间: |
|
| 查看次数: |
17713 次 |
| 最近记录: |