反解與正解本來是分開的…
你不必要求正反兩解之一致性, 只是, 若查詢的程式若發現不一致(PARANOID),
則取決於該程式如何處理了.
請記著一點: DNS 只負責解釋, 至於解釋出來的結果如何用? 那就不是 DNS 要擔心的.
本文撰寫於 www.chinaunix.com ,撰寫人為: netman/abel
歡迎任意轉載,轉載時請注明出處
除錯別字外(哈~這個我常發生),勿對本文加油添醋
主題:反向解析域是怎么授权的 (http://bbs.chinaunix.net/forum/16/20040812/385903.html)
——————————————————————-
正文開始,文接 netman 那篇
建議您在看前,對 DNS 解析流程及授權有一定的概念,並巳充份了解正解的狀況
1.前言
首先, 我上次問過大家一個問題:
— 在 internet 上是正解查詢多還是反解查詢多?
若你有朋友在 NIC 或 ISP 內管 dns 的話, 應該不難問出答案:
—> 反解多!
那, 你或許會問: why? Continue reading »
ubuntu上的dns方案,完美解决IPV6优先,缓存,Local站点指定dns等问题.
可以正常使用本地dns解析国内大站,同时解析youtube, facebook, google时又能优先使用ipv6,当然最后还有解析结果的缓存.
后期如果需要,还可以再配置 DNSSec.
实现的工具是,unbound (http://unbound.net)
一般的 DNS Server ( Authoritative DNS Server ) 是要用來回答該 DNS Server 所負責或擁有的一個或多個網域的主機名稱和IP位址的查詢,而 Recursive DNS Server 則是相反,Recursive DNS Server 也算是一個 Cache (快取) 的 DNS Server,它會在電腦上儲存多個網域的資料,但電腦上的應用程式 (像是瀏覽器) 需要用主機名稱查詢IP位址是,Recursive DNS Server 就可以提供它所儲存的網域資料給該應用程式。
但是,為什麼叫做 Recursive 呢 ? 這是因為 Recursive DNS Server 可以經由 Recursive (遞迴) 方式,從網域名稱的樹狀結構的根 ( Root ) 來進行遞迴式的查詢以找到需要的網址,這和實際的連結到 Authoritative DNS Server 進行的方式是類似的,不過,並不是所有的 DNS Server 內建都有支援 Recursive DNS Server 的,如果有要用 Recursive DNS Server 的功能的話,在選擇 DNS 時,就要注意一下哩 !
你可以在自己的電腦上加一台 Recursive DNS Server 給自己用,可以稍微的加快瀏覽網站的速度,尤其是在低頻寛的連線或是沒有吃到飽的 3G 連結,透過 Recursive DNS Server 的使用者,都可以減少一些封包的傳送,另外,也是可以裝一台在公司內部給大家一起用的,這樣可以降低一些網路的流量的哩 ! Continue reading »
DNS安全扩展(DNSSEC),是由IETF提供的一系列DNS安全认证的机制(可参考RFC2535)。引入DNS SEC技术是为了防范在 DNS 中发现的一些无法避免的漏洞,攻击者可以利用这些漏洞劫持这一使用名称在 互联网 上搜寻某个人或某个站点的过程。这种攻击的目的是取得对会话的控制以实施某种操作,例如使用户进入劫持者自己设立的欺骗性网站,以便收集用户的帐户和密码。
本文描述的如何在你的Linux(Ubuntu)和Mac系统上启用DNSSec支持,防止域名劫持。通过安装和配置开源 DNS服务软件unbound,就可以在本地启用DNSSec的支持。 Continue reading »
Posted on May 11, 2010 by Duan Haixin
5月5日ICANN已经成功的将DNSSEC部署到13个跟域名服务器了,没有出现人们担心的千年虫问题,7月份将使用正式的Key。
那些山寨版的Root Server仍然可以继续“行骗”,只要ISP仍然控制着路由。如果Resolver 也配置了DNSSec,这些山寨版的root server可能要露出马脚了。
当然,国内可以控制域名服务器,让国内的resolver不使用 DNSSec。然而,他们控制不了国外的resolver。
这样的环境下,DNSSec能够防范域名劫持吗?我还在怀疑和观察中……
=====PS:不知原作者的观察结果如何?
Posted on May 16, 2011 by Duan Haixin
作者:段海新,清华大学信息网络工程研究中心
摘要:DNSSEC是为解决DNS欺骗和缓存污染而设计的一种安全机制。本文概要介绍DNSSEC的背景、工作原理、在BIND上的配置,最后介绍国际上的布署情况和它可能对互联网安全体系的影响。
域名系统(Domain Name System,DNS)是一些“Too simple, Too Naive”的互联网先驱者设计的,它象互联网的其他协议或系统一样,在一个可信的、纯净的环境里运行得很好。但是今天的互联网环境异常复杂,充斥着各种 欺诈、攻击,DNS协议的脆弱性也就浮出水面。对DNS的攻击可能导致互联网大面积的瘫痪,这种事件在国内外都屡见不鲜。
尽管DNS的安全问题一直被互联网研究和工程领域广为关注,但是有一种普遍存在的攻击却始终没有解决,即DNS的欺骗和缓存污染问题。DNS安全扩 展(DNS Security Extension, 即DNSSEC)主要是为了解决这一问题而提出的(尽管它还有其他用途)。因此,在介绍DNSSEC的原理之前有必要简单介绍DNS欺骗和缓存污染攻击的 原理。
用户在用域名(www.example.com)访问某一个网站时,用户的计算机一般会通过一个域名解析服务器(Resolver Server,也称递归服务器(Recursive Server))把域名转换成IP地址。解析服务器一般需要通过查询根域名服务器(root)、顶级域名服务器(TLD)、 权威域名服务器(Authoritative Name Server),通过递归查询的方式最终获得目标服务器的IP地址,然后交给用户的计算机。如图1所示。
图1 DNS域名欺骗和缓存污染攻击
对于上述任何一个请求(1,2,3,4)过程,攻击者都可以假冒应答方(根、顶级域、权威域、或解析服务器)给请求方发送一个伪造的响应,其中包含 一个错误的IP地址。发送请求的用户计算机或者解析服务器很傻、很天真地接受了伪造的应答,导致用户无法访问正常网站,甚至可以把重定向到一个伪造的网站 上去。由于正常的DNS解析使用UDP协议而不是TCP协议,伪造DNS的响应报文比较容易;如果攻击者可以监听上述过程中的任何一个通信链路,这种攻击 就易如反掌。 Continue reading »
Is my DNS a Mess? Probably!!
We don’t have time and space here to fix all those problems, but I’d like to concentrate now on:
How to Keep Your DNS from Blocking Mail Delivery from your and your Clients’ Mail Servers
Short, snappy headlines rule, OK!
IPv6, when widely implemented (you do have a plan, don’t you?) will fix a ton of Internet security problems. Until Nirvana arrives, we’ll have to do the best we can with the (DNS) technology in hand, which is a lot better than than mess we’ve got now.
Since I’ve become involved with postfix, a wonderful Mail Tranfser Agent (MTA) by Wietse Venema and IBM, used as the basis of my IMGate project (see link in left column), I’ve learned a lot about how advanced MTA’s such as postfix, qmail, and the latest version of sendmail can be setup to triangulate and validate any other mail servers who want to send them mail.
Using postfix as as example, just take a look at this page: Continue reading »
8月17日 消息:作为一家主流的第三方域名系统(DNS)供应商,OpenDNS刚刚正式宣布为IPv6协议提供DNS支持。该公司声称:“OpenDNS是全球范围内第一家可以提供此种服务的递归DNS服务供应商。”
尽管我并不清楚他们到底是不是属于真正的第一,但我知道对于网络管理员们来说,这属于一个重大的进步。就个人而言,我利用OpenDNS来进行DNS查验。与使用过的由ISP提供的DNS相比,它的查验速度更快;并且,与很多家ISP的DNS服务器相比,它的可靠性也更高。
2620:0:ccc::2
2620:0:ccd::2 Continue reading »