Tại sao gửi máy chủ tên có thẩm quyền trong DNS?


11

Vì tò mò, tôi đang kiểm tra các gói DNS của Wireshark. Tôi có thể thấy rằng có một truy vấn DNS từ máy chủ lưu trữ và sau đó phản hồi DNS từ máy chủ DNS. Mọi thứ chỉ như mong đợi.

Tuy nhiên, nếu bạn kiểm tra thêm trong truy vấn, bạn có thể thấy rằng máy chủ cũng gửi NS (máy chủ tên có thẩm quyền). Câu hỏi của tôi là: tại sao?

Là một máy chủ lưu trữ, tôi chỉ quan tâm đến IP. Đó là điểm chính của DNS , để phân giải tên thành địa chỉ IP .

Tại sao, với tư cách là chủ nhà, tôi sẽ cần thông tin NS?


1
@downvoter, hãy bình luận. Và nếu bạn nghĩ rằng câu hỏi của tôi rất dễ, thì ít nhất hãy trả lời nó sau đó downvote.
AhmedWas

6
Bằng cách triết lý và thiết kế phiếu là vô danh và không bỏ phiếu lên cũng không bỏ phiếu xuống đòi hỏi bất kỳ lời giải thích bắt buộc . Chú giải công cụ xuất hiện khi con trỏ chuột của bạn vẫy trên nút xuống: "câu hỏi này không cho thấy bất kỳ nỗ lực nghiên cứu nào; nó không rõ ràng hoặc không hữu ích" . Ngoài ra các câu hỏi có thể thu hút một phiếu bầu xuống khi không được viết tốt , không hoàn toàn về chủ đề hoặc thiếu chi tiết.
HBruijn

Câu trả lời:


15

Các máy chủ tên truyền thống không gửi phản hồi ngắn cho truy vấn nhưng phản hồi đầy đủ tuân thủ RFC 1034 - 1035 bao gồm phần thẩm quyền chứa Bản ghi tài nguyên hướng đến (các) máy chủ tên có thẩm quyền.

Lý do có lẽ là do tính chất phân tán và ủy thác của DNS, có vẻ như đó là một ý tưởng tốt vào thời điểm đó để bao gồm "nguồn sự thật" trong các phản hồi.

Chỉnh sửa: Nhân tiện : gửi phần quyền là tuân thủ RFC nhưng không bắt buộc đối với tất cả các phản hồi truy vấn.

Trong BIND, hành vi này có thể được điều chỉnh bằng minimal-responses yes | no;chỉ thị, trong đó mặc định là novà các phần Cơ quan và Bổ sung của phản hồi truy vấn sẽ luôn được điền đầy đủ.
Các máy chủ tên khác CloudFlare, AWS Route 53, Infoblocks và có lẽ những người khác sẽ luôn gửi các phản hồi tối thiểu như vậy theo mặc định. Các trình phân giải công khai của Google sẽ trả về phần Quyền khi có sẵn, Cloudflare.


Tôi nghĩ rằng nguồn gốc của truyền thống đó bao gồm cả phần thẩm quyền cũng như phản hồi truy vấn thực tế tìm thấy gốc của nó trong mã (giả) từ trang RFC882 đã lỗi thời 15-16

If the name server is not authoritative, the code copies 
the RRs for a closer name server into the response.  

The last section of the code copies all relevant RRs into the response.

cảm ơn đã chỉnh sửa và thông tin bổ sung. Tôi ước tôi có thể cho bạn nhiều hơn một phiếu bầu LÊN :)
AhmedWas

Điều này không thực sự trả lời câu hỏi. Chúng tôi đã biết một phản hồi đầy đủ được nhận. Câu hỏi là, lợi ích của việc này là gì? Tại sao tiêu chuẩn được thiết kế theo cách này? Giá trị của thông tin "bổ sung" trong hình thức phản hồi này là gì?
Các cuộc đua nhẹ nhàng trong quỹ đạo

3
@LightnessRacesinOrbit với tôi, câu trả lời là hiển nhiên: Máy chủ DNS không chỉ cho tôi biết example.com là abcd; nó nói với tôi ai đã nói như vậy. Đây là âm thanh nhận thức, bởi vì tôi không thể nói chính xác cho bạn Tôi biết điều gì đó là sự thật khi tôi thực sự chỉ biết rằng một số bên thứ ba khẳng định đó là sự thật. Tôi cảm thấy khó khăn hơn trong việc khắc phục sự cố khi mọi người trình bày tin đồn như thể đó là quan sát, hoặc kết luận của họ như là bằng chứng chính, v.v ... Sự khác biệt giữa việc nói X là đúng và nói với tôi Y nói đó là sự thật là rất lớn.
Monty Harder

1
@MontyHarder Vâng, điều đó có ý nghĩa, nhưng điều tôi đang nói là nó nên có trong câu trả lời.
Các cuộc đua nhẹ nhàng trong quỹ đạo

2
@LightnessRacesinOrbit RFC không phải lúc nào cũng bao gồm các động lực thiết kế. Để làm rõ "có vẻ là một ý tưởng tốt vào thời điểm đó" - Tôi nghĩ một lý do tại sao nó lại bao gồm phần thẩm quyền bên cạnh phản hồi truy vấn thực tế mặc dù RFC hiện tại không bắt buộc tìm thấy nguồn gốc của nó trong (giả ) mã từ RFC882 đã lỗi thời trang 15-16 "... Nếu máy chủ tên không có thẩm quyền, mã sẽ sao chép RR cho máy chủ tên gần hơn vào phản hồi. Phần cuối của mã sao chép tất cả các RR có liên quan vào phản hồi ... "
HBruijn

5

Máy chủ không biết liệu yêu cầu đến từ máy khách cuối hay là yêu cầu đệ quy từ máy chủ tên khác. Nếu đó là một máy chủ tên khác, nó có thể lưu trữ Bộ phận thẩm quyền và truy vấn trực tiếp các máy chủ tên đó trong tương lai.

Tôi tin rằng đó là sự biện minh ban đầu trong giao thức, nhưng nó có ý nghĩa bảo mật. Một phản hồi có thể bao gồm Phần thẩm quyền liệt kê các máy chủ tên không có thật và điều này đã được sử dụng trong các cuộc tấn công ngộ độc bộ đệm. Vì vậy, máy chủ tên thường sẽ không lưu các bản ghi NS trừ khi chúng là bản ghi ủy nhiệm cho một tên miền phụ của tên miền bạn đang truy vấn.


Máy chủ thực sự có thể cho biết sự khác biệt giữa các yêu cầu như vậy. Có một chút trong các cờ để yêu cầu đệ quy.
kasperd

Máy chủ có thể gửi truy vấn đệ quy, ví dụ: khi forwarderstính năng được sử dụng.
Barmar

Nhưng nếu bạn làm điều đó thì nó sẽ không quan tâm đến các máy chủ có thẩm quyền.
kasperd
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.