Esiste un limite ufficiale all'indirizzamento del nameserver?

8

I record di colla in genere non sono disponibili se un dominio e il suo nameserver non condividono un TLD e tecnicamente non sono richiesti se non condividono lo stesso dominio di secondo livello, il che potrebbe portare a ulteriori passaggi per risolvere un dominio. Il risolutore deve prima cercare l'indirizzo del nameserver prima di poter trovare l'indirizzo per il tuo dominio. Ma in teoria potresti aggiungere più passaggi lì di quei due.

La domanda qui è: quanto può essere lunga quella catena ?

se xyz.comusi nameserver ns1.xyz.info,
e xyz.infousi nameserver ns1.xyz.co,
e xyz.cousi nameserver ns1.xyz.cc,
e xyz.ccusi nameserver ns1.xyz.co.uk, ... e così via

... potresti finire con una catena molto lunga che il risolutore può districare prima che possa risolvere il nome che volevi originariamente.

Presumibilmente c'è un limite pratico: BIND dovrebbe essere disposto a attraversare così tanti collegamenti, altrimenti c'è il potenziale per un rifiuto del servizio. Ma c'è un limite ufficiale? Qualche numero di passaggi oltre i quali il resolver non è ufficialmente tenuto a procedere?

domain-name-system  rfc 
tylerl
fonte
1
La sezione "Limitare la quantità di lavoro" in tools.ietf.org/html/rfc1035#section-7.1 è ciò che mi viene in mente. Non è molto specifico su quale dovrebbe essere il limite, ma non sono consapevole del fatto che ci sia una regola definita al riguardo.
Håkan Lindqvist,
Inoltre, puoi approfondire alcuni scenari reali in cui prevedi che questo è un problema (si presenta come altamente improbabile nella pratica) o è una questione di natura puramente accademica?
Håkan Lindqvist,
@ HåkanLindqvist In realtà sto costruendo uno strumento che cerca problemi nelle configurazioni DNS. Questo è uno dei problemi da cercare. La domanda è: quanto in profondità dovrebbe ricorrere il sistema per cercare ulteriori problemi prima di arrendersi.
Tylerl,
1
@tylerl Potresti dare un'occhiata a github.com/dotse/dnscheck .
Jenny D,
@JennyD sì, ci sono molti progetti in questo modo. Ma ne sto costruendo uno che si spera possa fornire dettagli migliori ed è più facile da capire. Ma grazie per averlo segnalato.
Tylerl,

Risposte:

1 
if xyz.com uses nameserver ns1.xyz.info,

In questo caso il resolver locale chiederà innanzitutto ai server .com(ad es. A.gtld-servers.net) dove trovare i server dei nomi per il dominio xyz.com. Il server di dominio .com di solito fornisce record di colla per gli indirizzi IP dei server dei nomi per il dominio xyz.com.

per esempio:

$ dig  gmail.com @a.gtld-servers.net 

; <<>> DiG 9.9.3-rpz2+rl.13214.22-P2-Ubuntu-1:9.9.3.dfsg.P2-4ubuntu1.1 <<>> gmail.com @a.gtld-servers.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46893
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 5
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;gmail.com.         IN  A

;; AUTHORITY SECTION:
gmail.com.      172800  IN  NS  ns2.google.com.
gmail.com.      172800  IN  NS  ns1.google.com.
gmail.com.      172800  IN  NS  ns3.google.com.
gmail.com.      172800  IN  NS  ns4.google.com.

;; ADDITIONAL SECTION:
ns2.google.com.     172800  IN  A   216.239.34.10
ns1.google.com.     172800  IN  A   216.239.32.10
ns3.google.com.     172800  IN  A   216.239.36.10
ns4.google.com.     172800  IN  A   216.239.38.10

;; Query time: 375 msec
;; SERVER: 192.5.6.30#53(192.5.6.30)
;; WHEN: Thu Jul 10 01:10:57 EST 2014
;; MSG SIZE  rcvd: 181

Nella mia esperienza la tua affermazione che "i record di colla in genere non sono disponibili se un dominio e il suo nameserver non condividono un TLD" non è semplicemente vera. Dipende tuttavia dai dati forniti dal registrar per il dominio e le loro politiche variano. Alcuni richiedono l'IP da specificare. Alcuni lo lasciano al proprietario del dominio. Penso di ricordarne uno in Australia che non li supporta. Se il numero di registrar che si occupano del dominio del tuo paese è piccolo, forse questo potrebbe essere vero all'interno di quella parte dello spazio del dominio, ma per la rete nel suo insieme è atipico.

È certamente una buona pratica per i proprietari di domini fornire record di colla, ma a volte la possibilità di specificare un server DNS per nome senza inchiodare l'IP è vista come una flessibilità, e molti proprietari di domini non comprendono il problema di prestazioni che questo crea.

Se stai fornendo uno strumento di segnalazione DNS, è davvero il limite assoluto su tale errata configurazione che ti interessa? Sicuramente è più che utile segnalare i record di colla mancanti come avvertimento se anche uno di questi problemi di record di colla mancante presenta. Probabilmente vorrai tracciare almeno alcune indicazioni indirette come fornite (e segnalarne i record di colla mancanti) ma ci devono essere dei limiti su quanto dovresti seguire questo. Sarei abbastanza felice se uno strumento di report DNS avvisasse dei primi 3 o giù di lì, dato che sarei davvero interessato solo ad aggiungere i record di colla al mio dominio, o passare il provider DNS per il dominio a uno che è più competente.

Non sono sicuro del tuo approccio DOS proposto su BIND, poiché BIND memorizzerà nella cache le informazioni raccolte sulla posizione dei server dei nomi. Un utente malintenzionato dovrebbe creare molti domini senza colla e quindi fare molte domande su di essi. Il costo della creazione di domini che verrebbero probabilmente cancellati dal registrar dopo l'uso rischia di rendere poco appetibile un utente malintenzionato.

mc0e
fonte
1
.com e .net sono entrambi verisign. Sono l'eccezione. en.m.wikipedia.org/wiki/Verisign
tylerl
Le "eccezioni" sembrano riguardare la maggior parte dei TLD con cui ho lavorato, ma sì, certamente ci sono domini in cui i record di colla non sono presenti.
mc0e
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.