Về mặt bảo mật, tại sao không tin vào phần BỔ SUNG khi chúng khớp với phần AUTHORITY?
Không có bảo mật nào liên quan đến THÊM VÀO tiết diện. Trong trường hợp của DNSSEC, các bản ghi trong CƠ QUAN và CÂU TRẢ LỜI các phần được ký, nhưng những phần trong THÊM VÀO không. Do đó khách hàng KHÔNG THỂ tin vào nội dung của THÊM VÀO thực sự đến từ máy chủ tên có thẩm quyền, nó có thể đã được sửa đổi trong quá trình vận chuyển.
Vì vậy, ngay cả khi bạn nghĩ rằng bản ghi đưa ra "khớp" với CƠ QUAN phần, nó hoàn toàn có thể đã bị tấn công bởi kẻ tấn công trên đường dẫn.
Hầu hết nếu không phải tất cả các máy khách DNS đều tránh sử dụng bất kỳ dữ liệu nào trong THÊM VÀO trừ trường hợp hoàn toàn không còn cách nào khác, đó là lúc cần đến keo dán. Về mặt kỹ thuật, keo dán chỉ cần thiết khi máy chủ định danh ở trong bailiwick bằng hoặc thấp hơn tên miền. Không chỉ bên dưới cùng một TLD, đó chỉ là nội bộ, như chúng ta thấy ở đây, mà thực sự là bên ngoài của tên miền được truy vấn.
Đây, ns-912.awsdns-50.net. không phải là tại ngoại của allcosts.net. và do đó sự hiện diện của nó trong THÊM VÀO là tùy chọn và tốt hơn là bỏ qua.
Nhưng chúng ta hãy quay lại giải quyết tên của bạn bằng cách thực hiện tất cả các bước và xem liệu chúng ta có cần bản ghi này trong THÊM VÀO và nó giúp ích như thế nào.
Bước 1
allcosts.net được phục vụ bởi:
ns-22.awsdns-02.com.ns-912.awsdns-50.net.ns-1834.awsdns-37.co.uk.ns-1233.awsdns-26.org.
Để có được bất kỳ dữ liệu nào, một trong 4 máy chủ tên này phải được liên hệ do đó tên của nó phải được giải quyết. Tất nhiên, lưu ý rằng khách hàng chỉ cần một trong số họ và không cần kiểm tra cả 4 người. Nhưng chúng ta hãy thử giải quyết cả 4 cái tên đó.
Bước 2a: ns-22.awsdns-02.com.
Miền awsdns-02.com. được phục vụ bởi:
g-ns-3.awsdns-02.com.g-ns-578.awsdns-02.com.g-ns-1154.awsdns-02.com.g-ns-1730.awsdns-02.com.
Lưu ý cách 4 tên này nằm trong bailiwick cho tên miền này, vì vậy máy chủ tên gốc trả lại keo (Một và AAAA bản ghi) cho cả 4 người trong số họ, do đó tên ns-22.awsdns-02.com. có thể được giải quyết hoàn toàn và yêu cầu ban đầu có thể dừng ở đó nếu đây là máy chủ tên được chọn. Kỷ lục đầu tiên THÊM VÀO phần là vô ích ở đây.
Bước 2b: ns-912.awsdns-50.net.
Miền awsdns-50.net. được phục vụ bởi:
g-ns-1970.awsdns-50.net.g-ns-499.awsdns-50.net.g-ns-820.awsdns-50.net.g-ns-1394.awsdns-50.net.
Một lần nữa, tất cả bailiwick, do đó, kết luận tương tự như bước trước.
lưu ý như thế nào ns-912.awsdns-50.net. không xuất hiện ở bất cứ đâu ở đây, do đó, một lần nữa địa chỉ IP của nó trong phần đầu tiên THÊM VÀO phần là không cần thiết.
Bước 2c ns-1834.awsdns-37.co.uk.
Để cắt ngắn mọi thứ, một lần nữa awsdns-37.co.uk. được phục vụ bởi 4 tên miền trong bailiwick, cùng một kết luận.
Bước 2d ns-1233.awsdns-26.org.
Như nhau.
Phần kết luận
Không có vấn đề gì được thực hiện để giải quyết bất kỳ tên nào dưới allcosts.net., địa chỉ IP của ns-912.awsdns-50.net. đưa vào THÊM VÀO tiết diện SẼ KHÔNG sử dụng vì không cần thiết. Máy chủ tên có thẩm quyền cho awsdns-50.net. sẽ được truy vấn để lấy tên cho ns-912.awsdns-50.net. vì nội dung từ cha mẹ sẽ không được tin cậy.
phần tái bút
Nhưng nếu vô dụng, tại sao hồ sơ này thậm chí còn tồn tại?
Bởi vì ns-912.awsdns-50.net. đã được đăng ký tại cơ quan đăng ký có liên quan với tư cách là đối tượng lưu trữ, bởi cơ quan đăng ký của awsdns-50.net.. Bạn có thể thấy nó trong whois:
$ whois -h whois.verisign-grs.com 'máy chủ định danh ns-912.awsdns-50.net.'
Tên máy chủ: NS-912.AWSDNS-50.NET
Địa chỉ IP: 205.251.195.144
Nhà đăng ký: MarkMonitor Inc.
Nhà đăng ký Máy chủ WHOIS: whois.markmonitor.com
URL đăng ký: http://www.markmonitor.com
>>> Cập nhật lần cuối cơ sở dữ liệu whois: 2022-01-09T07:02:41Z <<<
Đối tượng máy chủ này trên thực tế là vô dụng (vì tên máy chủ này là KHÔNG PHẢI có thẩm quyền trên awsdns-50.net.) nhưng có thể trước đây nó đã được sử dụng HOẶC các tên miền khác dưới com hoặc bọc lưới (như cùng một sổ đăng ký) sử dụng đối tượng máy chủ này, do đó không thể xóa đối tượng này.
Cũng lưu ý ở đây rằng không có hậu quả hoạt động nào vì các địa chỉ IP khớp nhau:
$ đào NS-912.AWSDNS-50.NET @g-ns-1394.AWSDNS-50.NET. +ngắn
205.251.195.144
Keo trở thành vấn đề khi IP thay đổi ở một bên (ví dụ: con) mà không được đồng bộ hóa ở bên kia (cha). Nhưng, một lần nữa, ngay cả điều đó ở đây cũng không ảnh hưởng gì vì THÊM VÀO bản ghi là không cần thiết để giải quyết bất cứ điều gì theo allcosts.net..
