DNS-запросы высоки для несуществующих записей. можно безопасно сделать подстановочный знак 0.0.0.0?

Question

DNS-запросы высоки для несуществующих записей. можно безопасно сделать подстановочный знак 0.0.0.0?

У меня есть домен, и я использую dnsmadeasy для DNS. Я заметил, что запросы растут миллионами каждый месяц для записей, которых у меня даже нет. Так что можно сделать запись с подстановочным знаком A, такую как *.mydomain.com, и сделать TTL высоким и указать его на 0.0.0.0, чтобы запросы были кешами, кто бы их ни делал, и не будет делать их так часто. Или это создаст какую-то проблему безопасности или другую?

0

domain-name-system security wildcard

Источник

PixelPaul 25 авг '15 в 05:50

1 ответ

Решение

Другие вопросы по тегам domain-name-system security wildcard

Håkan Lindqvist 25 авг '15 в 06:08 2015-08-25 06:08 · Accepted Answer · 2015-08-25 06:08

Это звучит как плохая идея по нескольким причинам.

Прежде всего, отрицательные результаты могут не только кэшироваться, но и обычно кэшироваться (с TTL, основанным на SOAMINIMUM значение). Проверьте это значение и подумайте о его повышении, если оно низкое.

Также есть аспект того, что будет делать добавление записи с подстановочными адресами, и в этом случае плохой A запись. Главная проблема, которую я вижу здесь, состоит в том, что это нарушает обработку ошибок. Т.е. вместо того, чтобы клиентское приложение, зная, что имя не существует, и выручив его, оно попытается соединиться и получит менее очевидную ошибку.
Даже если большое количество запросов кажется нелегитимным, и вам не обязательно заботиться о том, что произойдет, это, очевидно, повлияет на всех, включая законных клиентов, которые из-за ошибок или иным образом решают дурную репутацию.

Стоит отметить использование 0.0.0.0 в качестве адреса назначения также указывается, что в некоторых системах это будет работать как шлейф.