我打算用DNSSEC签署我的DNS区域。 我的区域,注册商和我的DNS服务器(BIND9)都支持DNSSEC。 唯一不支持DNSSEC的是我的辅助名称服务器提供商(即buddyns.com )。 在他们的网站上 ,他们就DNSSEC 做出如下表述: BuddyNS不支持DNSSEC,因为它暴露了一些不适合高容量DNS服务的漏洞。 那么,我认为DNSSEC的使用目前在某种程度上是有问题的,因为大多数parsing器不检查logging是否正确签名。 我不知道的是 – 根据他们的说法 – 似乎提供它会暴露某种安全漏洞。 那些“漏洞”是什么?
据我所知,域名注册商对于他们pipe理的每个域,都使用其顶级根名称服务器为该域注册权威域名服务器。 我的问题是:他们如何做到这一点? 有没有一个特殊的协议,他们使用? 顶级根名称服务器如何validation注册商的查询以更改给定域的权威名称服务器? 那甚至是公共知识? 例如,说你自己的example.com。 您想更改它的权威名称服务器。 您向注册服务商提供新名称服务器的地址。 到现在为止还挺好。 他们反过来也会用顶级的根名称服务器(.com的负责人)回应这种变化。 什么协议用于您的注册商的查询? 那个根名称服务器如何validation它? 它如何知道它是合法的? 从超级用户迁移( https://superuser.com/questions/910123/how-do-registrars-register-authoritative-name-servers-with-root-name-servers)
我有一个关于DNSlogging的新手问题。 我有一台服务器,我正在托pipeless数几个站点。 目前,每个站点都拥有由独立提供商托pipe的域,并且每个站点都有一条指向服务器IP地址的Alogging。 但是如果将来要更换服务器,我将不得不在每个DNSlogging中更新每个IP地址。 是否可以在每个域上使用CNAMElogging来指向我直接控制的另一个域? 这样我就可以在一个地方自己更新IP地址,而不必让所有这些其他DNS提供商分别更新它们的logging。 对不起,如果这是一个重复的问题,但我似乎无法find一个以我明白的方式直接回答这个问题。 谢谢
我无法使用dig / nslookup / host列出它们。
比方说,我有一个networking服务器,称为“www”。 www.example.comparsing为该机器的IP地址。 然后我想制作一些虚拟主机和DNSlogging,比如webmail.example.com。 对于'networking邮件',我应该把www的IP地址放在一个Alogging中,还是应该为CNAME做一个CNAME? 什么是“更清洁”,更强劲? 更好?
有时logging被列为www IN A 192.168.1.1 ,有时被列为www A 192.168.1.1 。 IN的用途是什么?什么时候需要/不需要?
我花了一些时间研究这个话题,似乎无法find一个确切的答案,所以我相当有信心,这不是一个重复的,虽然我的问题是基于安全需要,我认为它仍然是安全的请问这里,但让我知道如果我需要把它移动到安全社区。 从根本上说,DNS查询是否使用TCP(如果是这样,这种情况会发生)? 再次,我只是在谈论查询。 他们可以通过TCP旅行吗? 如果域最多只能有253个字节的长度,而UDP数据包最多只能有512个字节,那么不会总是以UDP的forms出现。 我不认为一个可parsing的查询可能足够大,需要使用TCP。 如果DNS服务器收到一个大于253字节的域的请求,服务器是否会放弃/不尝试并解决它? 我确信我在这里做了一些错误的假设。 在某些情况下,我正在与安全小组合作,将DNS查询纳入他们的安全监控工具,由于各种原因,我们决定通过DNS服务器和域控制器上的标准数据包捕获来捕获此stream量。 核心要求是捕获所有DNS查询,以便他们可以识别客户端尝试parsing任何给定的域。 基于这一要求,我们不关心如何捕获DNS响应或其他stream量(如区域传输),这也是由于我们需要尽可能限制日志量。 因此,我们计划只捕获目的地为DNS服务器并通过UDP发送的DNS查询。 对于更多的上下文(问题范围在这里蔓延),现在已经提出,我们可能需要扩大安全的可见性,以便他们可以监视像DNS上运行的隐蔽通道这样的活动(这也将需要捕获DNS响应,和随后的TCPstream量)。 但即使在这种情况下,我认为任何出站DNSstream量都将以查找/查询的forms出现,而且即使是来自恶意来源(由于我在第一段中的推理),它们也始终是UDP。 所以这带来了一些额外的问题: 我们至less要用我概述的方法来捕捉一半的谈话? 或者,客户端是否会发送非查询forms的DNSstream量? (也许像某种DNS服务器响应的回复,也许最终会通过TCP出去) 可以修改DNS查询使用TCP? DNS服务器是否接受并响应通过TCP传来的DNS查询? 不知道是否相关,但我们限制DNS请求授权的DNS服务器,并阻止所有其他stream量通过端口53 outbound。我绝对是一个菜鸟,所以我很抱歉,如果我的问题不符合,让我知道我应该如何修改。
我有一个运行BIND的DNS服务器的内部networking,通过一个网关连接到互联网。 我的域名“example.com”由外部DNS提供商pipe理。 该域中的一些条目(例如“host1.example.com”和“host2.example.com”)以及顶级条目“example.com”指向网关的公共IP地址。 我希望位于内部networking上的主机将“host1.example.com”,“host2.example.com”和“example.com”parsing为内部IP地址,而不是网关的IP地址。 像“otherhost.example.com”的其他主机仍应由外部DNS提供商解决。 我通过在BIND中为“host1.example.com”和“host2.example.com”定义了两个单入口区域,从而成功实现了host1和host2条目。 但是,如果为“example.com”添加区域,则该域的所有查询都将由本地DNS服务器parsing,例如查询“otherhost.example.com”会导致错误。 是否有可能configurationBIND只覆盖一个域的一些条目,并recursion解决其余的?
当DNS高速caching的准确性存在问题时, dig +trace往往是确定面向互联网的DNSlogging的权威答案的推荐方式。 这也似乎是特别有用的时候也配对+additional ,这也显示胶水logging。 偶尔在这一点上似乎有一些分歧 – 有些人说它依靠本地的parsing器来查找中间名称服务器的IP地址,但是命令输出并没有提供这种情况,这是超出最初的根目录域名服务器。 假设如果+trace的目的是从根服务器开始并追踪你的方向,情况就不是这样。 (至less如果你有根名称服务器的正确名单) dig +trace是否真的使用本地parsing器来处理超过根名称服务器的任何事情?
如果我抓住我的resolv.conf,我看到这个消息: # # Mac OS X Notice # # This file is not used by the host name and address resolution # or the DNS query routing mechanisms used by most processes on # this Mac OS X system. # # This file is automatically generated. # 我正在尝试添加一个DNS条目。 我编辑我的主机文件,并刷新DNScaching,但名称不解决,如果我使用host servername 。 我想也许这个host没有configuration看hosts文件。 我怎样才能让我的新条目解决,什么是OSX使用,如果不是resolv.conf ?