Может ли неавторизованный сервер имен дать ответ, который ему нравится?

Question

Может ли неавторизованный сервер имен дать ответ, который ему нравится?

Наш регистратор доменов позволяет нам использовать наши собственные DNS-серверы или использовать их (настройка записей DNS в их веб-интерфейсе); Я полагаю, это обычная ситуация.

Мы решили настроить наши собственные DNS-серверы. Теперь DNS-серверы регистратора (которые больше не являются полномочными) возвращают ответ, содержащий, среди прочего, A запись, указывающая на "начало" веб-страницы для предлагаемой ими услуги веб-хостинга. Таким образом, фактически их DNS-сервер возвращает неверную информацию.

Пример DNS поиска и ответов

Надеюсь, чтобы сделать это проще, предположим:

Я зарегистрировался example.com на MyRegistrar.com
Я настроил ns1.mydomain.com в качестве (авторитетного) сервера имен для example.com
ns1.myregistrar.com является одним из серверов имен MyRegistrar.com
Я размещаю сайт для example.com на сервере с адресом 1.2.3.4
Целевая страница "Начало работы" для MyRegistrar.com подается с 9.8.7.6

Ожидаемый, действительный ответ для dig -t any example.com затем (сокращенно):

;; ANSWER SECTION:
example.com. 99999  IN  A   1.2.3.4.

;; AUTHORITY SECTION:
example.com. 9999   IN  NS  ns1.mydomain.com.

;; ADDITIONAL SECTION:
ns1.mydomain.com.   99999   IN  A   1.2.3.1.

Тем не менее, при запросе MyRegistrar.com с помощью dig -t any @ns1.myregistrar.com example.comЯ получаю следующий неверный ответ:

;; ANSWER SECTION:
example.com. 99999  IN  SOA ns1.myregistrar.com. 1 14400 3600 604800 3600
example.com. 9999   IN  A   9.8.7.6.
example.com. 99999  IN  NS  ns1.myregistrar.com.

;; ADDITIONAL SECTION:
ns1.myregistrar.com.    600 IN  A   9.8.7.1.

При запросе специально для MX записи с dig -t mx @ns1.myregistrar.com example.comЯ даже получаю раздел с правами в ответе (раздел с ответом пуст, так как нет MX записи):

;; QUESTION SECTION:
;example.com.   IN  MX

;; AUTHORITY SECTION:
example.com. 3600   IN  SOA ns1.myregistrar.com. 1 14400 3600 604800 3600

Завершение...

Это, конечно, не проблема на практике, потому что нормальные DNS-запросы не будут направлены на ns1.myregistrar.com, Но в порядке интереса, работает ли сервер имен MyRegistrar.com в соответствии с RFC?

Я просмотрел документацию и RFC о том, какую информацию DNS-серверы должны / разрешают включать в свои ответы (и, в частности, если им разрешено полностью отклоняться от авторитетного ответа), но не смог найти ничего уместного. Любые указатели будут с благодарностью.

-1

domain-name-system domain-registrar rfc authoritative

Источник

Oliphaunt 03 янв '18 в 11:23

1 ответ

Другие вопросы по тегам domain-name-system domain-registrar rfc authoritative

CGretski 07 янв '18 в 12:12 2018-01-07 12:12 · Answer 1 · 2018-01-07 12:12

Если DNSSEC не реализован, нет никаких доказательств того, что любой ответ DNS содержит точные данные.

"Власть" представляет собой сочетание:

Сервер, полагая, что у него есть полная копия зоны DNS (т. Е. Он является ведущим или ведомым для этой зоны, а не просто рекурсивным кешем)
Предоставление полномочий родительской зоны DNS для вашей зоны / домена DNS вашим серверам (это контролирует веб-интерфейс вашего регистратора)
Сама зона, содержащая запись SOA, ссылающуюся на этот сервер
Зона, содержащая записи NS для главного и подчиненных устройств, на которых размещена полная копия зоны

Если сервер считает, что у него есть полномочия, но в инфраструктуре DNS нет записей этого сервера для этой зоны, то ничто не должно запрашивать его - таким образом, неправильные записи не имеют значения - если вы не используете хостинг. внутри этого провайдера, который может быть жестко настроен на использование своих собственных DNS-серверов.