Warum einen autorisierenden Nameserver in DNS senden?

11

Aus Neugier überprüfe ich die Wireshark DNS-Pakete. Ich kann sehen, dass es eine DNS-Abfrage vom Host und dann eine DNS-Antwort vom DNS-Server gibt. Alles ist wie erwartet.

Wenn Sie die Abfrage jedoch weiter einchecken, sehen Sie, dass der Server auch den NS (autorisierender Nameserver) sendet. Meine Frage ist: warum?

Als Host kümmere ich mich nur um die IP. Dies ist der Hauptpunkt von DNS , um einen Namen in eine IP-Adresse aufzulösen .

Warum brauche ich als Gastgeber die NS-Informationen?

AhmedWas
quelle
1
@downvoter, bitte kommentieren. Und wenn Sie denken, dass meine Frage so einfach ist, dann beantworten Sie sie zumindest und stimmen Sie ab.
Ahmed war
6
Durch die Philosophie und Design Stimmen sind anonym und weder stimmen oben noch stimmen nach unten erfordert jede verbindliche Erklärung . Der Tooltip wird angezeigt , wenn Sie mit dem Mauszeiger hoovers über die Ab - Taste heißt es : „Diese Frage keine Forschungsanstrengungen nicht zeigen, es ist unklar oder nicht sinnvoll“ . Auch Fragen können eine Ablehnung hervorrufen, wenn sie nicht gut geschrieben sind , nicht ganz zum Thema gehören oder Details fehlen.
HBruijn

Antworten:

15

Herkömmlicherweise senden Nameserver keine kurze Antwort auf eine Abfrage, sondern eine vollständige Antwort nach RFC 1034 - 1035, die den Berechtigungsabschnitt enthält, der Ressourcendatensätze enthält, die auf die autorisierenden Nameserver verweisen.

Das Warum liegt wahrscheinlich daran, dass es angesichts der verteilten und delegierten Natur von DNS zu dieser Zeit eine gute Idee war, die "Quelle der Wahrheit" in die Antworten einzubeziehen.

Bearbeiten: Übrigens: Das Senden des Berechtigungsabschnitts ist RFC-konform, jedoch nicht für alle Abfrageantworten obligatorisch.

In BIND kann dieses Verhalten mit der minimal-responses yes | no;Direktive optimiert werden, wobei die Standardeinstellung lautet nound die Abschnitte Authority und Additional der Abfrageantwort immer vollständig ausgefüllt sind.
Andere Nameserver wie CloudFlare, AWS Route 53, Infoblocks und wahrscheinlich auch andere senden standardmäßig immer solche minimalen Antworten. Die öffentlichen Resolver von Google geben einen Autoritätsbereich zurück, sofern verfügbar, Cloudflare.


Ich denke, der Ursprung dieser Tradition, sowohl den Autoritätsabschnitt als auch die eigentliche Abfrageantwort einzubeziehen, liegt im (Pseudo-) Code des inzwischen veralteten RFC882 auf Seite 15-16

If the name server is not authoritative, the code copies 
the RRs for a closer name server into the response.  

The last section of the code copies all relevant RRs into the response.
HBruijn
quelle
danke für die bearbeitung und die zusätzlichen info. Ich wünschte, ich könnte Ihnen mehr als eine UP-Stimme geben :)
AhmedWas
Dies beantwortet die Frage nicht wirklich. Wir wissen bereits, dass eine vollständige Antwort eingeht. Die Frage war, was ist der Nutzen davon? Warum ist der Standard so konzipiert? Was ist der Wert der "zusätzlichen" Informationen in dieser Form der Antwort?
Leichtigkeitsrennen mit Monica
3
@LightnessRacesinOrbit für mich ist die Antwort selbstverständlich: Der DNS-Server sagt mir nicht nur, dass example.com abcd ist; es sagt mir, wer das gesagt hat. Dies ist erkenntnistheoretisch fundiert, da ich Ihnen nicht genau sagen kann, dass ich weiß, dass etwas eine Tatsache ist, wenn ich eigentlich nur weiß, dass ein Dritter behauptet hat, dass es eine Tatsache ist. Ich finde es schwieriger, Probleme zu beheben, wenn Leute Hörensagen als Beobachtung präsentieren oder ihre Schlussfolgerungen als primäre Beweise usw. Der Unterschied zwischen der Angabe von X als wahr und der Aussage von Y, dass es wahr ist, ist enorm.
Monty Harder
1
@MontyHarder Ja, das macht Sinn, aber ich sage, dass es in der Antwort sein sollte.
Leichtigkeit Rennen mit Monica
2
@ LightnessRacesinOrbit-RFCs enthalten nicht immer die Designmotive. Um zu verdeutlichen, "es schien damals eine gute Idee zu sein" - ich denke, ein Grund dafür, warum es traditionell ist, den Autoritätsabschnitt zusätzlich zur eigentlichen Abfrageantwort einzuschließen, obwohl aktuelle RFCs kein Mandat haben, das seinen Ursprung im (Pseudo) findet ) Code aus dem jetzt veralteten RFC882 Seite 15-16 "... Wenn der Nameserver nicht autorisierend ist, kopiert der Code die RRs für einen näheren Nameserver in die Antwort. Der letzte Abschnitt des Codes kopiert alle relevanten RRs in die Antwort ... "
HBruijn
4

Der Server weiß nicht, ob die Anforderung von einem Endclient stammt oder eine rekursive Anforderung von einem anderen Nameserver ist. Wenn es sich um einen anderen Nameserver handelt, kann er den Abschnitt "Berechtigung" zwischenspeichern und diese Nameserver in Zukunft direkt abfragen.

Ich glaube, das war die ursprüngliche Rechtfertigung im Protokoll, aber es hat Auswirkungen auf die Sicherheit. Eine Antwort kann einen Autoritätsabschnitt enthalten, in dem falsche Nameserver aufgelistet sind. Dies wurde bei Cache-Vergiftungsangriffen verwendet. Daher speichern Nameserver NS-Datensätze im Allgemeinen nicht zwischen, es sei denn, es handelt sich um Delegierungsdatensätze für eine Subdomain der Domäne, die Sie abfragen.

Barmar
quelle
Der Server kann tatsächlich den Unterschied zwischen solchen Anforderungen erkennen. Es gibt ein bisschen in den Flags, um nach Rekursion zu fragen.
Kasperd
Server können rekursive Abfragen senden, z. B. wenn die forwardersFunktion verwendet wird.
Barmar
Aber wenn Sie das tun, sind autorisierende Server sowieso egal.
Kasperd