Bản ghi DNS có https: // trong nhãn


19

Gần đây tôi đã gặp lần đầu tiên một bản ghi A của mẫu:

https://www.example.com.    <TTL>   IN  A   <IP address>

Theo tôi biết, hồ sơ này là có chủ ý (tức là không có lỗi). Tôi biết rằng dấu hai chấm và dấu gạch chéo là các ký tự hợp lệ cho nhãn, theo RFC 2181 , nhưng tôi không hiểu mục đích của bản ghi. Có một số cơ quan chứng nhận sử dụng biểu mẫu này để xác nhận kiểm soát tên miền? Liệu hình thức này bảo vệ chống lại một số loại khai thác? Bẫy một số loại lỗi người dùng hoặc vấn đề được biết đến với phần mềm?


1
Địa chỉ IP có khác với địa chỉ phù hợp với www.example.com không? Điều gì khiến bạn nghĩ rằng điều này là cố ý và không phải là một lỗi?
jcaron

Lý do tôi nghi ngờ bản ghi này không được định cấu hình sai là vì tổ chức kiểm soát các bản ghi này là một tập đoàn lớn có sự hiện diện trực tuyến lớn, có hồ sơ DNS mà tôi dự kiến ​​sẽ bị xem xét kỹ lưỡng. Nhưng tôi hoàn toàn có khả năng tin rằng những hồ sơ A này là một lỗi. Tôi sẽ đào sâu (không có ý định chơi chữ) vào vấn đề này hơn nữa và đăng cập nhật nếu tôi xác định lý do cho các hồ sơ.
Binky

Nếu bất cứ ai có tài khoản DNSDB Farsight hoặc một dịch vụ tương tự và muốn truy vấn toàn bộ không gian DNS cho các bản ghi A khác có "https: //", điều đó sẽ rất tuyệt. :)
Binky

Ánh xạ địa chỉ IP của bản ghi A https://www.example.comkhác với ánh xạ địa chỉ IP cho www.example.com. Các bản đồ trước đây đến các địa chỉ (nhiều bản ghi A) trong / 16 netblock thuộc sở hữu của "example.com" trên mỗi ARIN whois. Cái sau ánh xạ tới một CNAME trong miền của nhà cung cấp CDN chính. Chuỗi CNAME cuối cùng ánh xạ tới một địa chỉ IP trong mạng của nhà cung cấp CDN
Binky

@Binky: Đó không phải là lý do chính đáng để nghi ngờ rằng nó không bị định cấu hình sai. Sự bất tài trong các tập đoàn lớn là vô cùng phổ biến.
R ..

Câu trả lời:


51

Lời giải thích rất có thể là một người dùng không quen thuộc với DNS đã cố gắng định cấu hình các bản ghi DNS và mắc một lỗi rõ ràng rõ ràng đối với bất kỳ ai quen thuộc với DNS, nhưng không phải với những người không biết.

Mặc dù nhãn DNS có thể là bất kỳ dữ liệu nhị phân độc lập nào nói chung , bạn nên đọc phần còn lại của phần 11, cụ thể:

Tuy nhiên, lưu ý rằng các ứng dụng khác nhau sử dụng dữ liệu DNS có thể có các hạn chế áp đặt đối với những giá trị cụ thể nào được chấp nhận trong môi trường của chúng. Ví dụ: bất kỳ nhãn nhị phân nào cũng có thể có bản ghi MX không ngụ ý rằng bất kỳ tên nhị phân nào cũng có thể được sử dụng làm phần lưu trữ của địa chỉ email. Khách hàng của DNS có thể áp đặt bất kỳ hạn chế nào phù hợp với hoàn cảnh của họ đối với các giá trị họ sử dụng làm khóa cho các yêu cầu tra cứu DNS và trên các giá trị được DNS trả về. Nếu khách hàng có những hạn chế như vậy, họ hoàn toàn chịu trách nhiệm xác thực dữ liệu từ DNS để đảm bảo rằng nó tuân thủ trước khi sử dụng dữ liệu đó.

Trong số những thứ khác, điều này có nghĩa là cú pháp nhãn có thể bị hạn chế tùy thuộc vào loại RR. Như được chỉ định trong RFC 1123 phần 2.1 và RFC 952, tên máy chủ Internet có cú pháp bị ràng buộc như vậy, trong đó dấu hai chấm và dấu gạch chéo không hợp lệ.


1

Đó là sai đối với một địa chỉ tiêu chuẩn nhưng có thể ai đó đang sử dụng DNS làm thiết bị liên lạc ngoài băng tần.

Không khó để tưởng tượng việc phải truyền dữ liệu qua DNS thay vì thông qua các kênh 'bình thường'.


1
Bạn có thể đi trước và tưởng tượng cho chúng tôi? Vì đây là câu trả lời không thực sự nói điều gì có thể xảy ra - chỉ là người trả lời cho rằng nó hợp lý.
Saiboogu

1
có thể ai đó đang sử dụng DNS như một thiết bị liên lạc ngoài băng tần. @ djsmiley2k Tôi không đề cập đến khả năng này trong bài viết gốc của mình vì tổ chức kiểm soát các hồ sơ A này là một công ty có các yêu cầu bảo mật / tuân thủ đáng kể. Đối với những hồ sơ này là một cơ chế truy cập ngoài băng sẽ rất khó xảy ra, và nếu các hồ sơ là một vụ hack OOB, thì hậu quả sẽ là ... đáng sợ.
Binky

@Blinky đủ công bằng, trong trường hợp này là không thể, nhưng đó là khả năng ở những người khác.
djsmiley2k - CoW

Đây chắc chắn là một điều có thể, nhưng các kênh bên DNS thường được thực hiện bằng văn bản trong bản ghi TXT chứ không phải trong chính tên máy chủ. Ngoài ra, "https: //" trông giống như một lỗi, không phải là văn bản được mã hóa.
Criggie
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.