Aus Neugier überprüfe ich die Wireshark DNS-Pakete. Ich kann sehen, dass es eine DNS-Abfrage vom Host und dann eine DNS-Antwort vom DNS-Server gibt. Alles ist wie erwartet.
Wenn Sie die Abfrage jedoch weiter einchecken, sehen Sie, dass der Server auch den NS (autorisierender Nameserver) sendet. Meine Frage ist: warum?
Als Host kümmere ich mich nur um die IP. Dies ist der Hauptpunkt von DNS , um einen Namen in eine IP-Adresse aufzulösen .
Warum brauche ich als Gastgeber die NS-Informationen?
Antworten:
Herkömmlicherweise senden Nameserver keine kurze Antwort auf eine Abfrage, sondern eine vollständige Antwort nach RFC 1034 - 1035, die den Berechtigungsabschnitt enthält, der Ressourcendatensätze enthält, die auf die autorisierenden Nameserver verweisen.
Das Warum liegt wahrscheinlich daran, dass es angesichts der verteilten und delegierten Natur von DNS zu dieser Zeit eine gute Idee war, die "Quelle der Wahrheit" in die Antworten einzubeziehen.
Bearbeiten: Übrigens: Das Senden des Berechtigungsabschnitts ist RFC-konform, jedoch nicht für alle Abfrageantworten obligatorisch.
In BIND kann dieses Verhalten mit der
minimal-responses yes | no;
Direktive optimiert werden, wobei die Standardeinstellung lautetno
und die Abschnitte Authority und Additional der Abfrageantwort immer vollständig ausgefüllt sind.Andere Nameserver wie CloudFlare, AWS Route 53, Infoblocks und wahrscheinlich auch andere senden standardmäßig immer solche minimalen Antworten. Die öffentlichen Resolver von Google geben einen Autoritätsbereich zurück, sofern verfügbar, Cloudflare.
Ich denke, der Ursprung dieser Tradition, sowohl den Autoritätsabschnitt als auch die eigentliche Abfrageantwort einzubeziehen, liegt im (Pseudo-) Code des inzwischen veralteten RFC882 auf Seite 15-16
quelle
Der Server weiß nicht, ob die Anforderung von einem Endclient stammt oder eine rekursive Anforderung von einem anderen Nameserver ist. Wenn es sich um einen anderen Nameserver handelt, kann er den Abschnitt "Berechtigung" zwischenspeichern und diese Nameserver in Zukunft direkt abfragen.
Ich glaube, das war die ursprüngliche Rechtfertigung im Protokoll, aber es hat Auswirkungen auf die Sicherheit. Eine Antwort kann einen Autoritätsabschnitt enthalten, in dem falsche Nameserver aufgelistet sind. Dies wurde bei Cache-Vergiftungsangriffen verwendet. Daher speichern Nameserver NS-Datensätze im Allgemeinen nicht zwischen, es sei denn, es handelt sich um Delegierungsdatensätze für eine Subdomain der Domäne, die Sie abfragen.
quelle
forwarders
Funktion verwendet wird.