Kendi kök DNS sunucunuzu oluşturmak mümkün mü?

14

Merak ediyorum. ISS'lerimizin ve internet ortağımızın tüm DNS isteklerini nasıl kaydettiğini ve izlediğini temelde birçok günlükte ekmek kırıntılarının izini bırakarak ve ayrıca reklam amaçlı olarak DNS kaçırmalarına izin veriyorum (size Cox Communications'a bakıyorum!).

Gizlilik / güvenlik için diğer yöntemlerden bağımsız olarak, özellikle kendi yerel ağınızda bir DNS sunucusu çalıştırmanın mümkün olup olmadığını bilmek istiyorum, aslında kök DNS sunucularının (.com, .net,. org) alan adları.

Temel olarak yalnızca alan adınızdaki makineleri eşleyen DNS'yi kurabileceğinizi biliyorum, ancak temel olarak kendi DNS sunucunuzda depolanacak kök DNS bilgilerinin bir kopyasını / aktarımını istemek mümkün mü, böylece DNS için İnternet'e girmeyi atlayabilirsiniz web tarama için hiç bilgi?

Umarım net olurum. DNS sunucumun yalnızca dahili ağım hakkında bilgi sahibi olmasını istemiyorum - büyük internet DNS sunucularının sahip olduğu yinelenen bilgilere sahip olmasını istiyorum, ancak bu bilgileri DNS sunucumda yerel olarak istiyorum.

DNS için BGP Bölgesi transferleri gibi bir şey var mı?

Güncelleme: Etki alanı kayıtlarını açık bir şekilde talep ettiğinizde önbelleğe almanız gerektiğinde, bu bilgileri temel DNS zincirinden yerel önbelleğe büyük miktarlarda "kazımak" için gereken miktarda ürün / OSS yazılımı var mı?

domain-name-system  security  privacy 
pythonnewbie
kaynak

Yanıtlar:

12

Tasarıma göre DNS, hiyerarşik bir adlandırma sistemi kullandığından tüm bölgelerin yetkili bir kopyasına sahip olmayı etkinleştirmez.

Kök sunucular, söz konusu Üst Düzey Alan Adı'ndan (TLD) sorumlu sunucuyu tanımlamak için yetkilidir . Örneğin, çözümleme www.example.netönce kök sunucusunu yetkili ad sunucusunu tanımlamak için sorgulayacaktır .net. .netAdsunucusu yetkili nameserverı belirleyecektir example.netsonra rekorunu dönecek, www.example.net.

Tüm bölgelerin bir kopyasını indiremezsiniz. Ancak, yerel bir önbellek ad sunucusu çalıştırabilirsiniz. Önbelleğe alınan ad sunucusu, kayıt için belirtilen Yaşam Süresi (TTL) kullanılarak süresi dolan tüm kayıtların yerel bir kopyasını sağlar. Açıklamamın, DNS Protokolünün basit bir açıklaması olduğunu ve Yorum İsteğinde tanımları okuyarak ayrıntılı olarak incelenebileceğini lütfen unutmayın .

NXDOMAIN ele geçirme işleminin yerel bir önbellek çalıştırılarak önlenebilmesine rağmen , tüm DNS çözümleme trafiğinin hala İnternet bağlantınız üzerinden şifrelenmeden aktarılacağını unutmayın. İSS'niz potansiyel olarak bu trafiği izleyebilir ve yine de iletişimi görebilir. İSS'nizle yaptığınız sözleşmeler ve yerel yasalarınız, iletişimlerinize nasıl davranılacağını belirlemenin kesin yolu olacaktır. ISS'nizin sözleşmeleri, Hizmet Şartları'nı, Gizlilik Politikalarını ve ISS'nizle olabilecek ek sözleşmeleri içerecektir.

Şifreli protokoller kullanmak, verilerinizi aktarım sırasında gizlice dinlemeye karşı sigortalamanın en iyi yöntemlerinden biridir. Ancak, bunun bile anonimlik garantisi yoktur. Gerçekte anonim olmayacak şekilde tasarlanmadığı için internette anonimlik getirmeye çalışan Tor ve Freenet gibi ek protokoller var .

Warner
kaynak
1
Basit cevap hayır, yapamazsın. Teknik cevap Warner'ın cevabında yukarıda. Tüm DNS bilgilerini içeren tek bir sunucu seti yoktur. Kök sunucular, talebinizi daha aşağıya yönlendiren TLD sunucularından birine başvurur.
Rex
1
Bazı ISS'ler NXDOMAIN saldırılarını kapatmanın bir yolunu sunar. Bazı ISS'ler, NXDOMAIN saldırılarını "kapatmak" için (aptal ve sahte) çerez tabanlı bir mekanizma sağlar. İSS'nizin ad sunucusu yerine kullanılabilecek alternatif ad sunucuları da vardır.
Brian
3

Bir kaç şey:

Sunucunuzu ileticileri kullanmak yerine kök ipuçlarını kullanacak şekilde yapılandırırsanız, MITM sorunları hakkında endişelenmenize gerek yoktur (en azından ISS ve DNS korsanlarından). Tüm harici DNS çözümlemeleri için sunucunuz, söz konusu üst düzey etki alanı (.com vb.) İçin gTLD sunucularına yönlendiren kök ipuçlarını sorgular ve bu da söz konusu etki alanı için sizi NS sunucularına yönlendirir .

Gerçekten kendi kök sunucunuzu oluşturmak istiyorsanız, bunu nasıl yapabileceğinizi görmeme rağmen kesinlikle yapabilirsiniz. Bunu bir Windows DNS sunucusunda nasıl yapacağınız aşağıda açıklanmıştır:

DNS kök bölge dosyasını indirin ve Windows DNS sunucunuzdaki% systemroot% \ system32 \ dns dizinine root.dns olarak kaydedin, "adlı yeni bir birincil ileriye doğru arama bölgesi oluşturmak için DNS bölge oluşturma sihirbazını kullanın. (tırnak işaretleri olmadan), AD tümleşik bölge oluşturma seçeneğinin seçimini kaldırın, "yazın." bölge adı için (tırnak işaretleri olmadan), varolan bir dosyayı kullanma seçeneğini belirleyin; bölge dosya adı alanı otomatik olarak root.dns adıyla doldurulur (yazılmazsa), dinamik güncellemelere izin verin, sihirbazın her adımında geçiş yaptıktan sonra bitir düğmesini tıklayın. Artık tüm gTLD sunucuları için bölgelere ve bölge kayıtlarına sahip bir kök sunucunuz var.

Bunun sunucudaki yönlendirme ve kök ipucu seçeneklerini devre dışı bırakacağını unutmayın (sunucunuz artık bir kök sunucu olduğundan) ve ayrıca gTLD bilgileri değişirse, sunucunuzun bu değişiklikleri fark etmesinin bir yolu olmadığını unutmayın.

joeqwerty
kaynak
ISS'nin kök sunucuların (DNSsec hariç) IP'sini ele geçirmesini durduran hiçbir şey yok ... Bunun dışında doğru.
Chris S
1

Yakın ilişkili sunucular için bölge aktarımları vardır. Bunlar BGP duyurularına benzer. Güvenlik nedeniyle, bunlar genellikle diğer sunucular için engellenir.

Bir önbellekleme adı sunucusu çalıştırırsanız, kök sunucu listesini kopyalar ve çok yakında .com, .net, vb. Köklerine sahip olur. DNS'nin dağıtılmasının çok iyi bir nedeni vardır. Aksi takdirde herkes eski verilerle çalışacaktır. Veritabanının boyutu oldukça büyük olacak ve verilerin çoğu ilginizi çekmeyecektir.

DNS zehirlenmesi riskini azaltma seçenekleri ve iyi yazılımlar, bilindiği gibi sorunlarla başa çıkmaktadır. Yukarı akış sağlayıcı olarak kullanılabilecek sterilize edilmiş veri sağlamada çalışan organizasyonlar vardır. Bunlar bazı zehirlenme girişimlerini filtreleyecektir. Akış yukarı sağlayıcılar olarak OpenDNS veya google'ı kullanmaya bakın.

Kök DNS bölgeleri artık imzalanmıştır ve posta sunucumun DNS verilerinin imzalandığını bildirdiğini giderek daha fazla görüyorum. DNS imzasının IPV6 için bir gereklilik olduğu bildirilmiştir. İmzalı DNS, önbellek zehirlenmesini çok zorlaştırır, ancak DNS'yi yönetme zorluğuna katkıda bulunur.

BillThor
kaynak
1

Kesinlikle kendi sunucunuzu kurabilir ve kök için yetkili hale getirebilirsiniz, ancak kök sunucuların bölge dosyalarıyla önceden doldurabileceğinizi bilmiyorum. Sadece bir zonetransfer talep edemezsiniz, bu yüzden sanırım önbelleklerinizi tutarak doldurmanız gerekir.

Diğer ad sunucularınızdaki root.hints değerlerini, onları özel kök sunucunuza yönlendirecek şekilde değiştirin ve sınamaya başlayın.

Ancak, kök sunucuların yalnızca hangi sunucuların TLD'ler için yetkili olduğunu bildiğini, başka bir şey olmadığını unutmayın. Aslında imkansız bir görev gibi görünen tüm sunucu hiyerarşisini yeniden oluşturmanız gerekecek.

Martijn Heemels
kaynak
0

Evet, DNS sunucularının özelliklerinden biri, sıkça istenen sorguların yerel önbelleğe alınmasıdır ve belirtilen ttl'yi çok sık atlar.

Kesinlikle kendi dns çalıştırabilir, sorun değil. Ancak kök sunucular ve üst düzey etki alanı sunucuları, sam amca sormak zorunda kalacak.

Tüm dns isteklerinin kaydedilmesi mümkündür, ancak delilik olur.

Ancak önbelleğe güvenmek, söz konusu alan adı için zaten bir DNS isteği göndermeniz gerektiği anlamına gelir; bu, yalnızca tamamen (veya çoğunlukla) yerel DNS isteklerini almaya çalışma amacını ortadan kaldırır.
pythonnewbie
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.