Neden DNS'de yetkili ad sunucusu göndermelisiniz?

11

Meraktan, Wireshark DNS paketlerini kontrol ediyorum. Ana bilgisayardan bir DNS sorgusu ve ardından DNS sunucusundan DNS yanıtı olduğunu görebiliyorum. Her şey beklendiği gibi.

Ancak, sorguyu yeniden kontrol ederseniz, sunucunun NS (yetkili ad sunucusu) da gönderdiğini görebilirsiniz. Sorum şu: neden?

Ana bilgisayar olarak yalnızca IP'yi önemsiyorum. Budur DNS ana nokta için, bir IP adresine bir ad çözümlemek .

Ana bilgisayar olarak neden NS bilgisine ihtiyacım var?

domain-name-system  dns-zone  wireshark  dns-hosting  dns-server 
AhmedWas
kaynak
1
@ downvoter, lütfen yorum yapın. Ve sorumun çok kolay olduğunu düşünüyorsanız, en azından cevap verin ve aşağı indirin.
AhmedWas
6
Felsefe ve tasarım oyla anonim ve ne oylama yukarı ne de oylama aşağı herhangi zorunlu açıklama gerektirir . Fare işaretçiniz aşağı düğmesinin üzerine geldiğinde görünen araç ipucu şunu belirtir: "bu soru herhangi bir araştırma çabası göstermiyor; belirsiz veya kullanışlı değil" . Ayrıca, sorular iyi yazılmadığında , konuyla ilgili veya eksik detaylar olmadığında aşağı oyu çekebilir .
HBruijn

Yanıtlar:

15

Geleneksel olarak ad sunucuları bir sorguya kısa bir yanıt göndermez, ancak yetkili ad sunucularına yönlendiren Kaynak Kayıtlarını içeren yetki bölümünü içeren RFC 1034 - 1035 uyumlu tam yanıt gönderir .

Bunun nedeni büyük olasılıkla DNS'nin dağıtılmış ve yetkilendirilmiş doğasıyla, yanıtlara "gerçeğin kaynağı" nı eklemek için iyi bir fikir gibi görünüyordu.

Düzenleme: Bu arada: yetki bölümü gönderme RFC uyumludur, ancak tüm sorgu yanıtları için zorunlu değildir.

BIND'de bu davranış minimal-responses yes | no;, varsayılanın olduğu yönerge ile ayarlanabilir nove sorgu yanıtının Yetki ve Ek bölümleri her zaman tam olarak doldurulur.
Diğer ad sunucuları CloudFlare, AWS Route 53, Infoblocks ve muhtemelen diğerleri zaten bu tür minimum yanıtları varsayılan olarak her zaman gönderecektir. Google'ın genel çözümleyicileri, uygun olduğunda Cloudflare bir Yetki bölümü döndürür.

Ben düşünüyorum gerçek sorgu yanıtı artık eskimiş dan (pseudo) kodu kendi kök bulduğu olarak bu geleneğin kökeni de yetki bölümüne hem içerecek şekilde RFC882 sayfa 15-16

If the name server is not authoritative, the code copies 
the RRs for a closer name server into the response.  

The last section of the code copies all relevant RRs into the response.
HBruijn
kaynak
düzenleme ve ek bilgi için teşekkürler. Keşke sana daha fazla UP oyu
verebilseydim
Bu soruya gerçekten cevap vermiyor. Tam bir yanıt alındığını zaten biliyoruz. Soru şuydu, bunun yararı nedir? Standart neden bu şekilde tasarlanıyor? Bu yanıt biçimindeki "ek" bilgilerin değeri nedir?
Yörüngedeki Hafiflik Yarışları
3
@LightnessRacesinOrbit bana, cevap apaçık ortada: DNS sunucusu bana example.com'un abcd olduğunu söylemiyor; bana bunu kimin söylediğini söylüyor. Bu epistemolojik olarak sağlamdır, çünkü sadece bir üçüncü tarafın bunun bir gerçek olduğunu iddia ettiğini bildiğimde bir şeyin bir gerçek olduğunu bildiğimi doğru bir şekilde söyleyemem. İnsanlar gözlem gibi sanki işitme duydukları sorunları veya birincil kanıtlar, vb. Sonuçları gibi sorunları gidermeyi daha zor buluyorum. X'in doğru olduğunu söylemek ve bana Y'nin doğru olduğunu söylemek arasındaki fark çok büyük.
Monty Harder
1
@MontyHarder Evet, bu mantıklı, ama söylediğim şey cevapta olması gerektiği.
Yörüngedeki Hafiflik Yarışları
2
@LightnessRacesinOrbit RFC'ler her zaman tasarım motivasyonlarını içermez. "O zamanlar iyi bir fikir gibi görünüyordu" açıklığa kavuşturmak için - Mevcut RFC'lerin kökenini bulan kökenini bulamamasına rağmen, gerçek sorgu yanıtına ek olarak otorite bölümünü eklemenin geleneksel olmasının bir nedeni olduğunu düşünüyorum. ) kodu artık kullanılmayan RFC882 sayfa 15-16 "... Ad sunucusu yetkili değilse, kod daha yakın bir ad sunucusu için
HBruijn
5

Sunucu, isteğin bir son istemciden gelip gelmediğini bilmiyor veya başka bir ad sunucusundan yinelenen bir istek mi? Başka bir ad sunucusu ise, Yetki Bölümünü önbelleğe alabilir ve bu ad sunucularını doğrudan gelecekte sorgulayabilir.

Bunun protokoldeki asıl gerekçe olduğuna inanıyorum, ancak bunun güvenlik sonuçları var. Yanıt, sahte ad sunucularını listeleyen bir Yetki Bölümü içerebilir ve bu önbellek zehirlenmesi saldırılarında kullanılmıştır. Bu nedenle, ad sunucuları, sorguladığınız alanın bir alt etki alanı için temsilci kaydı olmadıkça genellikle NS kayıtlarını önbelleğe almaz.

barmar
kaynak
Sunucu aslında bu tür istekler arasındaki farkı söyleyebilir. Bayraklarda özyineleme istemek için biraz var.
kasperd
Sunucular, örneğin forwardersözellik kullanıldığında , özyinelemeli sorgular gönderebilir .
Barmar
Ancak bunu yaparsanız, yine de yetkili sunucular umursamaz.
kasperd
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.