我从来没有在例子中find任何引用,包括来自绑定ARM的。
不过,我注意到我的授权服务器收到来自IP的传输请求 – 而不是它们的名字 – 实际上是一些根服务器集合的一部分 – DNS根目录。
我准备在我的configuration中允许这样的转移,并且考虑到双重检查。
如果我是对的,那么根才会回答gTLD,然后TLD仅针对各自的下一级域名 – 代表团。 但是,如果我理解DNS的层次化devise,每个服务器都要提供它所拥有的所有信息,而不是提供严格的最小值,并将客户端引入迭代过程。 那么为什么不呢,根服务器可能希望能够回答我的区域…这将减轻我自己的服务器。
所以,首先,为什么根服务器(似乎)要求我的区域?
这实际上是一个攻击吗?
或者,如果可以的话,仍然存在这样的风险,即这样的服务器根或TLD将允许它处理的区域进行传输,而这可能不是我们的政策 – 不要相信大鱼总是完全pipe理它的设置。
我想我们可能会有不同的感觉,具体取决于是否已经使用DNSSECauthentication了区域,因为相信DNSSEC签名的根不仅仅等同于信任整个区域内容的根。
顺便说一句,如果我们允许转让,我们也应该通知他们修改。
*我觉得这个问题也应该有标签*
AXFR,区域转移和根服务器
编辑 (这里是线索):
我正在从日志里去
20-Jan-2016 20:33:30.581 security: error: client 192.134.4.83#51264: zone transfer 'MyZone.info/AXFR/IN' denied 所以
dig +noall +answer +authority -x 192.134.4.83 @a.in-addr-servers.arpa. 192.in-addr.arpa. 86400 IN NS y.arin.net. [...] dig +noall +answer +authority -x 192.134.4.83 @y.arin.net. 134.192.in-addr.arpa. 172800 IN NS ns3.nic.fr. [...] dig +noall +answer -x 192.134.4.83 @ns3.nic.fr. 83.4.134.192.in-addr.arpa. 172800 IN PTR zonemaster.rd.nic.fr. dig +noall +authority SOA zonemaster.rd.nic.fr. @ns3.nic.fr. rd.nic.fr. 3600 IN SOA ns2.rd.nic.fr. hostmaster.nic.fr. 2015111706 21600 3600 3600000 3600
还有…
我在那些date上玩过在线DNS检查器,包括法国TLD的zonemaster.fr 。 相当详细,顺便说一句。
所以AXFR请求只是他们运行testing的一部分。 🙂
我的错。
感谢您的回答。
在大多数情况下,我同意不信任大鱼的情绪总是要pipe理他们的设置。 由于运行DNS确实没有(直接)利润(让我们忽略OpenDNS / Google等)。 我一直认为,根域服务器很可能是由非常非常杰出的DNS家伙谁非常擅长他们做的。 简单地说,如果这些服务器pipe理不善,对整个互联网来说将会是灾难性的。 我认为一般来说你可以信任核心networking的东西,因为pipe理层远离它!
这样说,根域服务器没有理由从域的权威服务器请求AXFR。 这些非常繁忙的机器(集群)想象随机请求区域转移会产生额外的压力。 这种情况根本没有合乎逻辑的理由。 因此,我几乎可以肯定,这是一种攻击。
唯一需要AXFR访问的服务器是辅助区域服务器,其他所有服务器都可以使用标准DNS协议,就像他们打算的那样!
实际上…
可以想象 ,可能至less有一个根名称服务器(为了争辩起见,将其命名为L)实际上是分布在世界各地的数百台服务器的集合。 也可能是某个实体有兴趣testingDNS区域的设置,并且该实体可能有权访问这组机器。 那么使用这些机器来运行testing是非常方便的,因为那样会提供关于如何在不同的地方工作的信息。 而且,其中一个testing可能是发送AXFR查询,而不是实际获取信息,而是查看是否允许或拒绝。
或者我可能听说过。