DNS hat gerade mit der Auflösung meiner server.prod-Adressen in 127.0.53.53 begonnen

38

Ich habe Server mit dem Namen "Gefällt server.prod.example.commir" und melde mich regelmäßig als "" an server.prod. Seit kurzem werden diese Hostnamen in 127.0.53.53 aufgelöst.

Es stellt sich heraus, dass ICANN kürzlich die .prodTLD aktiviert hat . Darüber hinaus wird jede Anfrage, die an die .prodNameserver geht, auf 127.0.53.53 aufgelöst, anstatt als NXDOMAIN zurückzukehren, wodurch die Auflösung weiterhin ordnungsgemäß funktionieren würde. (Ich vermute, der Sinn dahinter ist, die Leute wissen zu lassen, dass ihre Sachen schlimmer werden, bevor sie anfangen, sich zu etwas Realem zu entschließen.)

Wie kann ich vermeiden, dass ich meinen Domainnamen für jeden Host wie diesen eingeben muss?

Beißt dich das immer noch gelegentlich? Ich konnte keine Liste der neuen TLDs finden und als sie hinzugefügt wurden, habe ich selbst eine eingerichtet: https://twitter.com/newgtldannounce

domain-name-system tld wfaulk
quelle
5
Diese Änderung von ICANN ist auch eine gute Erinnerung daran, dass es schlecht ist, wenn Ihre Anwendungen Suchpfade verwenden. Während diese Frage definitiv sinnvoll ist, wenn die Eingabe eines Benutzers zu diesem Verhalten führt, sollten Ihre Anwendungen Host-Dateieinträge oder FQDNs mit Punktsuffix verwenden. Nur wenige wissen, dass glibc erst dann auf den nächsten Server wechselt, wenn bei jedem definierten Suchsuffix eine Zeitüberschreitung eintritt.
Andrew B
13
Darf ich mir einen Moment Zeit nehmen, um alle daran zu erinnern, dass .prodes sich um eine blöde TLD handelt. :(
Leichtigkeit Rennen mit Monica
Ihre Frage beantwortete die Frage, die ich stellen wollte. Sie lautete: "ICANN hat kürzlich die TLD <whatever> aktiviert." Es stellte sich heraus, dass ich .haus für mein LAN verwendet habe und begann, diese zu erhalten: D Danke, dass Sie gefragt /
geantwortet haben
2
@LightnessRacesinOrbit .prod ist eine der vielen neuen TLDs von Google. Beschuldige sie.
Michael Hampton
@LightnessRacesinOrbit es mag dumm sein, wenn Sie es so betrachten, aber gleichzeitig ist es nicht gut, sich auf Suchlisten zu verlassen oder Namen zu verwenden, die nicht global registriert sind, da Sie Kollisionen erleiden.
Patrick Mevzek

Antworten:

37

Wenn Sie 127.0.53.53feststellen, dass interne Domänen plötzlich in eine Namenskollision aufgelöst werden, und ICANN versucht, Ihnen mitzuteilen, dass Sie Ihre DNS-Konfiguration dringend korrigieren müssen.
Wenn es würde NXDOMAIN zurückkehren , wie Sie vorgeschlagen, sind Sie richtig, wäre es an die Arbeit fortsetzen - vorerst .

Es würde auch Ihre intern vorgesehene DNS-Abfrage an externe Parteien weiterleiten.

Schlimmer noch, in Zukunft könnte sich jemand registrieren server.prodund Ihnen viel mehr Probleme bereiten.

Weitere Informationen finden Sie hier https://icann.org/namecollision oder führen Sie Folgendes aus:

$ dig -t TXT server.prod +short
"Your DNS configuration needs immediate attention see https://icann.org/namecollision"

Wie man das behebt: Abhängig vom Anwendungsfall würde ich sie wahrscheinlich nur .ssh/configmit den Kurznamen ergänzen . Oder starten Sie die FQDNs wirklich.

Schwindler
quelle
5
@MichaelHampton nicht wirklich, ich empfehle Kapitel 5.3:; Train users and system administrators in using FQDNs)
faker
3
Ja, weil ich wirklich 20 Mal am Tag eintippen möchte, ssh db.myreallylongdomainnamethatsomeassholefrommarketingpicked.comanstatt ssh db.
Wfaulk
3
@wfaulk: Warum sollte es ein "Witz" sein? Wenn Sie übermäßiges Tippen nicht mögen, warum meiden Sie den besten Mechanismus, um die Interaktion mit einem Computer zu ermöglichen, der übermäßiges Tippen vermeidet? Einige von euch Unix-Nerds sind nur barmherzig.
Leichtigkeit Rennen mit Monica
4
@Lightness Im Allgemeinen, weil wir dazu neigen, uns auf Bastionswirte zu konzentrieren. Unsere Corporate Overlords lassen ihre Mitarbeiter im Laufe der Jahre immer seltener ein Unix auf den von ihrem Unternehmen ausgegebenen Geräten ausführen, und die Arbeitsstunden, die durch den Zugriff auf Shell-Skripte von unserem Zugriffspunkt aus eingespart werden, übertreffen die Anforderungen einer GUI deutlich . GUI- und Textkonsolen haben beide einen Anteil an schlechten Gewohnheiten. : P
Andrew B
4
Dies ist nicht der richtige Ort, um eine Diskussion zwischen GUI und CLI zu führen. Ich habe eine Lösung vorgeschlagen, die möglicherweise nicht für alle das Beste ist, und das ist alles, was es zu sagen gibt.
Fälscher
13

Wenn Sie einen Hostnamen ohne Punkte eingeben, versuchen DNS-Resolver, diesen Hostnamen nachzuschlagen, indem sie zuerst die konfigurierten Suchdomänen an den Hostnamen anhängen.

Wenn Sie für die meisten Resolver einen Hostnamen mit mindestens einem Punkt verwenden, probiert der Resolver zunächst den Hostnamen selbst aus und fügt die konfigurierten Suchdomänen hinzu.

Viele Resolver haben die Möglichkeit, ihr Verhalten so zu ändern, dass sie die Suchdomänen für Hostnamen mit Punkten anhängen. Dies geschieht häufig " ndots" über eine Option , die dem Resolver mitteilt, wie viele Punkte der Hostname haben muss, bevor er zuerst versucht, den Hostnamen selbst nachzuschlagen. Um server.prodArbeit zu machen , fügen Sie diese Zeile Ihrem hinzu resolv.conf:

options ndots:2

Wenn Sie auch server.subzone.prod auflösen möchten, müssen Sie die Option auf 3 usw. setzen.

Wenn jemand weiß, wie man das in MacOS X umsetzt, lass es mich wissen. Das Ändern /etc/resolv.confist dokumentiert, um nicht zu funktionieren (und nicht), und ich kann die richtigen scutilBeschwörungsformeln nicht finden.

(Hinweis: Ich schütze meine Wetten hier mehr als wahrscheinlich gerechtfertigt. Ich glaube, dass die ndotsOption auf 99% der (Nicht-MacOSX-) Unix-Systeme funktioniert.)

wfaulk
quelle
1
Sie verwechseln die OS-Resolver-Bibliothek mit BIND. /etc/resolv.confist im Besitz des Betriebssystems. :)
Andrew B
Die meisten, wenn nicht sogar alle, Unix-OS-Resolver werden direkt aus den Resolver-Bibliotheken von BIND gerippt, wenn sie nicht direkt verwendet werden. Mein Punkt beim Aufrufen von BIND ist, dass es möglich ist, dass es ein Betriebssystem gibt, das etwas anderes verwendet, das nicht auf die Option "ndots" reagiert.
Wfaulk
2
Eine solche Aussage führt eher zu der Annahme, dass der von der C-Standardbibliothek implementierte Resolver von den von ISC bereitgestellten Bibliotheken abhängt. Im Falle von glibc ist dies mit Sicherheit nicht der Fall .
Andrew B
1
Meinetwegen. Problem behoben, bei dem versucht wurde, zu berücksichtigen, dass es möglicherweise nicht funktioniert, wenn nicht auf BIND verwiesen wird.
Wfaulk
0

Andere Antworten gaben Ihnen die technische Lösung für das Problem. Aber niemand antwortete auf Ihre:

Ich konnte keine Liste der neuen TLDs finden und wann sie hinzugefügt wurden

Hier ist es also.

Sie haben verschiedene Möglichkeiten.

  1. Besuchen Sie die IANA-Website unter: https://www.iana.org/domains/root/db ; Sie sehen die aktuelle Liste der delegierten TLDs, die aufgelöst werden und sich in der Stammzone befinden. Wenn Sie darauf klicken, erhalten Sie unten ein Datum, an dem Sie erfahren, wann sie aufgetaucht sind
  2. Genau die gleichen Daten stehen Ihnen whoisbeispielsweise in Ihrem Fall whois -h whois.iana.org prod | grep createdzur Verfügungcreated: 2014-08-23
  3. Es gibt verschiedene Bots auf Twitter / Mastodon, die posten, wenn sich der IANA-Inhalt ändert, siehe zum Beispiel https://twitter.com/ianawhois oder https://twitter.com/rootchanges
  4. Die IANA-Daten sind möglicherweise in der Aktualisierung etwas zurückgeblieben, daher ist die kanonische Datenbank für gTLDs und die Frage, in welcher Phase sie sich befinden, (jetzt ist es ein wenig umstritten, da die ICANN-Runde zur Einführung neuer gTLDs 2012 größtenteils abgeschlossen ist, aber neue Runden werden es tun ankommen), finden Sie hier: https://gtldresult.icann.org/application-result/applicationstatus ; Sie können nach TLD suchen. Allen gTLDs ist auch ein bestimmter Startzeitraum vorgeschrieben, sodass Sie hier Daten finden: https://newgtlds.icann.org/en/program-status/sunrise-claims-periods Sie können alle Daten exportieren.
  5. Sie können ICANN-Daten auch in JSON verwenden: https://www.icann.org/resources/registries/gtlds/v2/gtlds.json
Patrick Mevzek
quelle