那些遇到过的问题

名称服务器间接寻址是否有官方限制?

tyl*_*erl 8 domain-name-system rfc

如果域及其名称服务器不共享 TLD,胶水记录通常不可用,如果它们不共享相同的二级域,则技术上不需要,这可能导致解析域的额外步骤。解析器必须首先查找名称服务器的地址,然后才能找到您的域的地址。但从理论上讲,您可以在其中添加更多步骤,而不仅仅是这两个步骤。

这里的问题是,这条链允许有多长

如果xyz.com使用 nameserver ns1.xyz.info
然后xyz.info使用 nameserver ns1.xyz.co
然后xyz.co使用 nameserver ns1.xyz.cc
然后xyz.cc使用 nameserver ns1.xyz.co.uk,...等等

...在解析器解析您最初想要的名称之前,您可能会得到一个很长的链供解析器解开。

大概有一个实际限制——BIND 应该只愿意遍历这么多链接,否则可能会出现拒绝服务。但是有官方限制吗?官方不需要解析器继续进行的某些步骤?

mc0*_*c0e 1 

if xyz.com uses nameserver ns1.xyz.info,
Run Code Online (Sandbox Code Playgroud)

在这种情况下,您的本地解析器将首先向服务器.com(例如 a.gtld-servers.net)询问在哪里可以找到 xyz.com 域的名称服务器。.com 域服务器通常会为 xyz.com 域的名称服务器的 IP 地址提供粘合记录。

例如:

$ dig  gmail.com @a.gtld-servers.net 

; <<>> DiG 9.9.3-rpz2+rl.13214.22-P2-Ubuntu-1:9.9.3.dfsg.P2-4ubuntu1.1 <<>> gmail.com @a.gtld-servers.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46893
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 5
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;gmail.com.         IN  A

;; AUTHORITY SECTION:
gmail.com.      172800  IN  NS  ns2.google.com.
gmail.com.      172800  IN  NS  ns1.google.com.
gmail.com.      172800  IN  NS  ns3.google.com.
gmail.com.      172800  IN  NS  ns4.google.com.

;; ADDITIONAL SECTION:
ns2.google.com.     172800  IN  A   216.239.34.10
ns1.google.com.     172800  IN  A   216.239.32.10
ns3.google.com.     172800  IN  A   216.239.36.10
ns4.google.com.     172800  IN  A   216.239.38.10

;; Query time: 375 msec
;; SERVER: 192.5.6.30#53(192.5.6.30)
;; WHEN: Thu Jul 10 01:10:57 EST 2014
;; MSG SIZE  rcvd: 181
Run Code Online (Sandbox Code Playgroud)

根据我的经验,您的说法“如果域及其名称服务器不共享 TLD,则粘合记录通常不可用”根本不正确。然而,它取决于域名注册商提供的数据,并且他们的政策各不相同。有些需要指定 IP。有些人将其留给域名所有者。我想我记得澳大利亚有一个人不支持他们。如果处理您所在国家/地区域名的注册商数量很少,那么在该域名空间的该部分中可能会出现这种情况,但对于整个网络来说,这是不典型的。

对于域所有者来说,提供 Glue 记录当然是一个很好的做法,但有时通过名称指定 DNS 服务器而不用确定 IP 的能力被视为提供了灵活性,并且许多域所有者不理解这会产生的性能问题。

如果您提供 DNS 报告工具,它真的是您感兴趣的此类错误配置的绝对限制吗?当然,如果出现这样的缺失胶水记录问题,那么报告缺失的胶水记录作为警告更有意义。您可能想要跟踪至少一些间接,例如您提供的(并报告其丢失的粘合记录),但是您应该遵循的程度必须有一些限制。如果 DNS 报告工具对前 3 个左右发出警告,我会非常高兴,因为我只对将粘合记录添加到我的域或将域的 DNS 提供商切换为更有能力的提供商感兴趣。

我对您提出的 BIND DOS 方法表示怀疑,因为 BIND 将缓存它收集的有关名称服务器位置的信息。攻击者必须在没有胶水的情况下设置大量域,然后对它们进行大量查询。设置域的成本可能会在使用后被注册商取消,这可能会使攻击者失去吸引力。

归档时间:

查看次数:

475 次

最近记录:

11 年,4 月 前
相关归档
如何有选择地覆盖绑定 DNS 服务器上的某些 A 记录? 13
具有转发到外部 DNS 的新 DNS 区域 8
在 .local 域中运行 DNS 名称服务器 6
怎么用vim编辑表格数据(表格)?具体来说,BIND(命名)DNS db 文件 5
是否可以在动态 DNS 中将区域文件中的块定义为常量(使用绑定)? 5
运行将 dns 查询转发到不同 dns 名称服务器的本地 dns-server 5
为什么注册的域总是至少有两个权威名称服务器? 5
AWS 路线 53:如果我想使用外部服务器,是否需要更改 SOA 和 NS 记录? 2
DC兼容的DNS服务器? 1
仅将 DNS 递归绑定到我的域 1
难疑归档
Windows 上有用的命令行命令 281
如何将 sql.gz 文件加载到我的数据库?(输入) 192
如何从命令行启动/停止/重启launchd服务? 170
从 apt 包安装的文件列表 91
使用 Apache 2.2.3 (Debian) mod_proxy 和 Jetty 6.1.18 出现代理错误 502“原因:从远程服务器读取错误” 89
服务器的 SSD 或 HDD 73
每个系统管理员都应该阅读的最有影响力的书是什么? 66
STARTTLS 不如 TLS/SSL 安全吗? 63
磁带机的优势是什么? 62
“登录”和“交互式” bash shell 之间有什么区别 54