Gibt es eine Standardzeitdauer, bevor DNS-Caches gelöscht werden?

7

Gibt es eine Standardzeitdauer, bevor DNS-Caches gelöscht werden, sodass Sie, wenn ein abgelenkter Operator oder ein feststeckender Schlüssel eine TTL von 86400 in 864000000 umwandelt, keinen autorisierenden Ressourceneintrag oder sogar eine gesamte DNS-Zone erhalten, deren Änderungen nicht vorgenommen werden seit 27.397 Jahren anerkannt?

Und wenn es keinen Schutz gegen diese Art von Fehlern gibt, was ist dann der Grund dafür, eine TTL-Dauer von bis zu 68 Jahren anstelle eines Maximalwerts von vielleicht einem Monat zuzulassen?

user981178
quelle
@ AndrewB Sehr verwandt, aber kein genaues Duplikat. Die Antwort von Michael Hampton beantwortet die gestellte Frage besser als jede Antwort auf Ihren doppelten Vorschlag .
Kasperd
@kasperd Michaels Antwort erwähnt die Konfigurationsoptionen für mehrere Implementierungen nach Namen und erhielt meine positive Bewertung (ebenso wie die Frage, die eine Punktzahl von Null hatte), aber ansonsten ist dies eine Wiederholung derselben Punkte. Es ist mir egal, wessen Antwort dir besser gefällt.
Andrew B

Antworten:

12

Sie werden froh sein zu wissen, dass die meisten (wenn nicht alle) DNS-Serversoftware vor diesem Szenario geschützt sind.

Zum Beispiel:

Der Microsoft DNS-Server verfügt über eine MaxCacheTTL- Einstellung, die standardmäßig auf 86400 eingestellt ist. Wenn diese Einstellung nicht angepasst wird, speichert der DNS-Server unabhängig von einer TTL-Einstellung in DNS-RRs nichts länger als einen Tag.

BIND hat auch eine ähnliche Einstellung max-cache-ttl , die standardmäßig 604800 (7 Tage) ist.

PowerDNS alao hat die Einstellung max-cache-ttl und ist standardmäßig 86400.

Ungebunden benennt die Einstellung cache-max-ttl und ist standardmäßig 86400.

Da BIND immer noch der beliebteste DNS-Server ist, wirkt sich seine 7-Tage-Standardeinstellung auf Sie aus. Wenn Sie herausfinden, dass dies geschehen ist, müssen Sie wahrscheinlich eine Woche warten, bis fast jeder seine Caches geleert hat.

Michael Hampton
quelle
Ausgezeichnet. Danke für die Auskunft. Dann ist es wohl nur eine Frage der Betreiber dieser auflösenden DNS-Server, die sie nicht unklug angepasst haben.
user981178
Dies schützt Sie natürlich nicht, wenn die DNS-Operatoren auch die Einstellungen für max-cache-ttl durcheinander bringen. Wir hoffen, dass sie es nicht tun.
Braiam