Должны ли мы разрешить передачу зоны DNS корневым серверам и серверам родительской зоны NS?

Я никогда не находил ссылки на это в примерах, в том числе в Bind ARM.
Тем не менее, я заметил, что мой авторитетный сервер получил запросы на передачу от IP-адресов, а не от их имен, которые фактически были частью набора некоторых корневых серверов - корневого каталога DNS.
Я собирался разрешить такие переносы в моей конфигурации и подумал о двойной проверке.

Если я прав, root будет отвечать только за gTLD, а затем TLD только за их соответствующие домены следующего уровня - делегирования. Но, если я понимаю иерархическую структуру DNS, каждый сервер должен предоставлять всю имеющуюся информацию, а не предоставлять строгий минимум и направлять клиента в итеративный процесс. Так почему бы и нет, корневой сервер может захотеть ответить о моих зонах... что облегчит мои собственные серверы.

Итак, прежде всего, почему корневой сервер (кажется) запрашивает мои зоны?
Может ли это быть атакой?

Или, если все в порядке, остается риск того, что такой сервер - root или TLD - разрешит перенос для зон, которые он обрабатывает, хотя это может быть не нашей политикой - не доверяйте большой рыбке всегда идеально управлять своими настройками.

Я думаю, мы могли бы чувствовать себя по-разному в зависимости от того, аутентифицировали ли мы зоны с DNSSEC, поскольку доверие к корню для подписей DNSSEC не просто эквивалентно доверию корня для всего содержимого зоны.

И, кстати, если мы разрешаем переводы, мы также должны отправлять им уведомления об изменениях.

* Я чувствую, что этот вопрос также должен иметь теги *
AXFR, зона-перенос и корневые серверы

РЕДАКТИРОВАТЬ (вот подсказка):
Я собирался из строк журнала, как

20-Jan-2016 20:33:30.581 security: error: client 192.134.4.83#51264: zone transfer 'MyZone.info/AXFR/IN' denied

так

dig +noall +answer +authority -x 192.134.4.83 @a.in-addr-servers.arpa.
192.in-addr.arpa.       86400   IN      NS      y.arin.net.
[...]

dig +noall +answer +authority -x 192.134.4.83 @y.arin.net.
134.192.in-addr.arpa.   172800  IN      NS      ns3.nic.fr.
[...]

dig +noall +answer -x 192.134.4.83 @ns3.nic.fr.
83.4.134.192.in-addr.arpa. 172800 IN    PTR     zonemaster.rd.nic.fr.

dig +noall +authority SOA zonemaster.rd.nic.fr. @ns3.nic.fr.
rd.nic.fr.              3600    IN      SOA     ns2.rd.nic.fr. hostmaster.nic.fr. 2015111706 21600 3600 3600000 3600

И хорошо…
В эти дни я играл в онлайн-шашки DNS, включая https://zonemaster.fr/ французского домена верхнего уровня. Кстати, довольно подробный.

Таким образом, запрос AXFR был только частью тестов, которые они запускают.:-)

Виноват.
Спасибо за ваши ответы.

Источник

2 ответа

Решение

По большей части, хотя я бы согласился с мнением о том, что нельзя доверять большой рыбе, чтобы всегда управлять ее настройками. Так как от запуска DNS действительно нет (прямой) прибыли (давайте игнорировать OpenDNS/Google и т. Д.). Я всегда считал, что серверами корневых доменов, скорее всего, управляют очень умные парни из DNS, которые очень хорошо знают, что они делают. Просто потому, что было бы настолько катастрофично для Интернета в целом, если бы эти серверы плохо управлялись. Я думаю, что, как правило, вы можете доверять вещам основной сети, потому что управление держится подальше от этого!

При этом нет причин, по которым сервер корневой зоны будет запрашивать AXFR с авторитетного сервера домена. Эти очень занятые машины (кластеры) представляют дополнительную нагрузку, которую может иметь случайный запрос переноса зоны. Нет просто логической причины, по которой это могло бы произойти. Следовательно, я был бы почти уверен, что это своего рода атака.

Единственные серверы, которым необходим доступ AXFR - это серверы вторичной зоны, все остальное может использовать стандартные протоколы DNS, как они и должны!

Источник

А на самом деле...

Возможно, это может быть то, что, по крайней мере, один корневой сервер имен (скажем, ради имени L) на самом деле представляет собой набор из сотен серверов, распределенных по всему миру. И может быть, что какой-то объект заинтересован в тестировании настроек зон DNS, и что этот объект может иметь доступ к этому набору компьютеров. Тогда было бы довольно удобно использовать эти машины для запуска тестов, поскольку это давало бы информацию о том, как все работает из разных мест. И, кроме того, одним из тестов может быть отправка AXFR запрос не для фактического получения информации, но чтобы увидеть, будет ли она разрешена или отклонена.

Или так, я мог слышать.

Источник
Другие вопросы по тегам