înregistrare Logare
Puncte:1
vinz avatar Server

clarificarea regulilor judecătoriei privind secțiunea AUTORITATE și SUPLIMENTARE

drapel gd
vinz

Iată un exemplu de reguli judecătorești pe care nu le înțeleg:

Rezolvarea adobe.net de la a net. Serverul TLD oferă:

;; SECȚIUNEA AUTORITATE:
adobe.net. 172800 ÎN NS ns1.omtrdc.net.
adobe.net. 172800 ÎN NS ns2.omtrdc.net.

;; SECȚIUNE SUPLIMENTARĂ:
ns1.omtrdc.net. 172800 IN A 66.235.157.6
ns2.omtrdc.net. 172800 IN A 66.235.157.7

Și rezolvarea ns1.omtrdc.net. ofera:

;; SECȚIUNEA AUTORITATE:
omtrdc.net. 172800 ÎN NS ns201.adobe.net.
omtrdc.net. 172800 ÎN NS ns202.adobe.net.

;; SECȚIUNE SUPLIMENTARĂ:
ns201.adobe.net. 172800 IN A 204.74.108.252
ns202.adobe.net. 172800 IN A 204.74.109.252

Dacă secțiunea ADDITIONALĂ nu este de încredere în ambele cazuri, aceasta duce la o buclă.

După cum am înțeles, există două reguli:

  • SUPLIMENTARE nu ar trebui să fie de încredere dacă nu se potrivesc cu înregistrările NS din secțiunea AUTHORITY pentru a evita înregistrările evidente de compromis trimise de serverul de nume.
  • Secțiunea AUTHORITY NS ar trebui să fie un subset al domeniului solicitat. ns1.omtrdc.net. nu este un subset al adobe.net., deci IP-urile din secțiunea SUPLIMENTARE nu pot fi de încredere.

Cu toate acestea, am văzut unele implementări în care sunt de încredere pentru că ns1.omtrdc.net. este un subset al .net (serverul TLD care a răspuns).

Dacă înțeleg bine (după ce am citit câteva lucrări și implementări), deoarece serverul TLD gestionează net. zona, putem crede orice sub net., adică IP-ul ns1.omtrdc.net. adica NS-ul adobe.net.

Are sens sau am uitat câteva părți importante?

30
0 + 0
Puncte:1
Patrick Mevzek avatar Server
drapel cn
Patrick Mevzek

Nu sunt sigur că văd cu adevărat întrebarea ta.

ADIŢIONAL este definit ca opțional (deci clientul este liber să ignore acele date și din motive de securitate ar trebui într-adevăr să le ignore de cele mai multe ori)... cu excepția cazului în care nu există altă modalitate de a realiza ceva, care sunt lipici. Dar problema este că cleiurile SUPLIMENTARE aka nu sunt acoperite de DNSSEC, prin urmare nu sunt autentificate, așa că trebuie manipulate cu grijă.

Rețineți că cazul dvs. de adobe.net folosind servere de nume sub omtrdc.net nu este definiția „în-bailiwick”. Ar fi fost in-bailiwick dacă numele serverelor de nume ar fi fost și sub adobe.net. Deci, cazul dvs. este doar ceea ce se numește „servere de nume interne”, deoarece numele serverelor de nume sunt interne aceluiași registru cu numele de domeniu pe care sunt autorizați.

[ Nota personală laterală pentru a fi sincer: consider că această configurație a domeniului A care folosește servere de nume sub domeniul B ale căror servere de nume sunt din nou sub domeniul A este cu adevărat periculoasă. Orice eroare în A sau B dezactivează posibil rezoluția ambelor A și B; acesta este un fel de bucle, iar buclele din DNS ar trebui evitate (sau tratate cu grijă și măsuri de atenuare și garanții adecvate) ].

Puteți găsi o mulțime de definiții grozave în RFC 8499 despre terminologia DNS.

Are asta de exemplu:

Bailiwick: „In-bailiwick” este un modificator pentru a descrie un server de nume al cărui nume este fie un subdomeniu al sau (rar) același cu originea zonei care contine delegarea la nume Server.

Cât despre

Are sens sau am uitat câteva părți importante? Te descurci grozav arătând ieșirile DNS ale dig sau similar, dar ceea ce lipsește/vag este serverul de nume pe care îl întrebi pentru date, ar trebui să arăți asta și să studiezi asta pentru a avea o imagine clară. În majoritatea cazurilor de neînțelegere în DNS, văd că provine dintr-o confuzie între serverele de nume autorizate și recursive.

ADIŢIONAL secțiunea este definită așa în RFC 1034:

Adiţional
Poartă RR-uri care pot fi utile în utilizarea RR-urilor în alte secțiuni.

Apoi vine complet în §4.3.2 care descrie algoritmul de rezoluție:

Copiați NS RR pentru subzonă în autoritate secțiunea răspunsului. Pune orice adrese ar fi disponibil în secțiunea suplimentară, folosind lipici RR dacă adresele nu sunt disponibile de la autoritate date sau cache-ul. Treceți la pasul 4.

Întorcându-ne la RFC 8499, primiți mai multe explicații:

Un răspuns care are doar o trimitere conține un răspuns gol secțiune. Conține NS RRset pentru zona la care se face referire din Secțiunea de autoritate. Poate conține RR-uri care furnizează adrese în secțiunea suplimentară. Bitul AA este clar.

și

În cazul în care interogarea se potrivește cu un alias, iar serverul este nu este autorizat pentru ținta aliasului, dar este autorizat pentru un nume deasupra țintei aliasului, rezoluția algoritmul va produce un răspuns care conține atât răspuns autorizat pentru alias și o trimitere. Un astfel de parțial răspunsul și răspunsul la recomandare au date în secțiunea Răspuns. Aceasta are NS RRset pentru zona la care se face referire din Autoritate secțiune. Poate conține RR-uri care furnizează adrese în secțiune suplimentară.

Cât despre:

Cu toate acestea, am văzut unele implementări

Da, conținutul ADIŢIONAL se poate schimba în funcție de serverul de nume pe care îl întrebați și de modul în care este configurat. Vezi de exemplu răspunsuri minime opțiunea Bind, documentată la https://bind9.readthedocs.io/en/latest/reference.html afirmând: „Această opțiune controlează adăugarea de înregistrări la autoritate și secțiuni suplimentare de răspunsuri. Astfel de înregistrări pot fi incluse în răspunsuri pentru a fi utile clienților; de exemplu, înregistrările NS sau MX pot avea înregistrări asociate de adrese incluse în secțiunea suplimentară, evitând necesitatea unei căutări separate de adrese. Cu toate acestea, adăugarea acestor înregistrări la răspunsuri nu este obligatorie și necesită căutări suplimentare în bazele de date, provocând o latență suplimentară atunci când distribuirea răspunsurilor." Are 4 valori posibile atât de multe comportamente diferite online.

Și în sfârșit pentru:

deoarece serverul TLD administrează rețeaua. zona, putem crede orice sub net.

Da și nu :-). Luați, de exemplu, „experimentul” Verisign SiteFinder din trecut: interogați orice server de nume autorizat pentru orice nume care nu există și ați primit înapoi un A record. Crezi sau nu?

0 + 0
vinz avatar
drapel gd
vinz
Când spui „cu excepția cazului în care nu există altă modalitate de a realiza ceva, care sunt lipici”, cazul de utilizare de bază, cred că este pentru serverul TLD, deoarece nu există altă modalitate de a obține IP-urile fără a avea o buclă. Dar în acest caz, din moment ce ambele se referă unul la celălalt, este exceptată utilizarea secțiunii SUPLIMENTARE deoarece nu există altă cale? Nu văd o altă modalitate de a rezolva domeniul fără a utiliza înregistrări glue
0
Răspunde
Patrick Mevzek avatar
drapel cn
Patrick Mevzek
Da, SUPLIMENTARE este tocmai din cauza nevoii de lipici, nu pot fi nicăieri altundeva. Dar în trecut, ADDITIONAL era folosit și pentru alte lucruri, cum ar fi, dacă interogați pentru `MX`, primiți un nume de gazdă înapoi (și o preferință), iar un server de nume ar putea, de asemenea, să pună înregistrările A/AAAA pentru acel nume de gazdă direct în secțiunea SUPLIMENTARE a răspunsului având înregistrarea `MX` în secțiunea RĂSPUNS, ca o optimizare pentru a evita o întoarcere... cu excepția faptului că aceste date (în SUPLIMENTARE) ar putea să nu fie autorizate.
1
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.