Saya penasaran. Saya terus membaca tentang bagaimana ISP dan perantara internet kami mencatat dan melacak semua permintaan DNS pada dasarnya meninggalkan jejak remah roti di banyak log, dan juga memungkinkan pembajakan DNS untuk tujuan periklanan (Saya sedang melihat Anda Cox Communications!).
Terlepas dari metode lain untuk privasi / keamanan, saya secara khusus ingin tahu apakah mungkin untuk menjalankan server DNS di jaringan lokal Anda sendiri, _yang sebenarnya memiliki informasi zona dari server DNS root (untuk .com, .net ,. org) domain.
Saya tahu Anda dapat mengatur DNS yang pada dasarnya hanya memetakan mesin di domain Anda, tetapi apakah mungkin untuk pada dasarnya meminta salinan / transfer informasi DNS root untuk disimpan di server DNS Anda sendiri sehingga Anda dapat memotong keluar ke internet untuk DNS informasi sama sekali untuk penjelajahan web?
Saya harap saya jelas. Saya tidak ingin server DNS saya hanya memiliki informasi tentang jaringan internal saya - Saya ingin memiliki informasi duplikat yang dimiliki oleh server DNS internet besar, tetapi saya ingin informasi itu secara lokal di server DNS saya.
Apakah ada sesuatu seperti transfer BGP Zone tetapi untuk DNS?
Pembaruan: Apakah ada produk / perangkat lunak OSS yang pada dasarnya dapat "mengikis" informasi ini dari rantai DNS eksternal ke dalam cache lokal dalam jumlah besar sehingga mereka siap ketika Anda membutuhkannya, dibandingkan menyimpannya ketika Anda secara eksplisit meminta catatan domain?
sumber
Beberapa hal:
Jika Anda mengonfigurasi server Anda untuk menggunakan petunjuk root alih-alih menggunakan forwarder maka Anda tidak perlu khawatir tentang masalah MITM (setidaknya dari ISP dan pembajak DNS). Untuk semua resolusi DNS eksternal, server Anda akan menanyakan petunjuk root, yang akan mengarahkan Anda ke server gTLD untuk domain tingkat atas yang dimaksud (.com, dll.), Yang kemudian akan mengarahkan Anda ke server NS untuk domain yang dimaksud .
Jika Anda benar-benar ingin membuat server root sendiri, tentu saja Anda bisa, meskipun saya tidak melihat bagaimana hal itu akan banyak membantu Anda. Inilah cara Anda melakukannya pada server DNS Windows:
Unduh file zona root DNS dan simpan sebagai root.dns di direktori% systemroot% \ system32 \ dns di server DNS Windows Anda, gunakan wizard pembuatan zona DNS untuk membuat zona pencarian maju utama baru bernama "." (tanpa tanda kutip), batalkan pilihan untuk membuat zona terintegrasi AD, ketik "." untuk nama zona (tanpa tanda kutip), pilih opsi untuk menggunakan file yang ada dan bidang nama file zona akan secara otomatis diisi dengan nama root.dns (jika tidak diketikkan), biarkan opsi untuk tidak biarkan pembaruan dinamis apa adanya, klik tombol selesai setelah Anda bersepeda melalui setiap langkah wizard. Anda sekarang memiliki server root dengan catatan zona dan zona untuk semua server gTLD.
Perhatikan bahwa ini akan menonaktifkan opsi penerusan dan petunjuk root di server (karena server Anda sekarang merupakan server root) dan juga perhatikan bahwa jika informasi gTLD berubah, tidak ada cara bagi server Anda untuk mengetahui perubahan tersebut.
sumber
Untuk server terkait erat ada transfer zona. Fungsi ini sangat mirip dengan pengumuman BGP. Untuk alasan keamanan, ini biasanya diblokir untuk server lain.
Jika Anda menjalankan server nama caching itu akan menyalin daftar root server, dan segera memiliki root untuk .com, .net, dll. Ada alasan yang sangat bagus bahwa DNS didistribusikan. Kalau tidak, semua orang akan bekerja dengan data yang sudah usang. Ukuran basis data akan cukup besar, dan sebagian besar data tidak menarik bagi Anda.
Ada beberapa pilihan untuk mengurangi risiko keracunan DNS dan penawaran perangkat lunak yang bagus dengan masalah yang diketahui. Ada organisasi yang berupaya menyediakan data yang disanitasi yang dapat digunakan sebagai penyedia hulu. Ini akan menyaring beberapa upaya keracunan. Lihatlah menggunakan OpenDNS atau google sebagai penyedia upstream.
Zona DNS root sekarang ditandatangani, dan saya semakin melihat server email saya melaporkan bahwa data DNS telah ditandatangani. Penandatanganan DNS telah dilaporkan sebagai persyaratan untuk IPV6. DNS yang ditandatangani membuat keracunan cache sangat sulit, tetapi menambah kesulitan mengelola DNS.
sumber
Anda tentu saja dapat mengatur server Anda sendiri dan membuatnya otoritatif untuk root, tapi saya tidak tahu cara apa pun untuk membuatnya lebih awal dengan zonefiles root-server. Anda tidak bisa hanya meminta zonetransfer, jadi saya kira Anda harus mengisinya dengan menyimpan cache Anda.
Ubah root.hints di server nama Anda yang lain untuk mengarahkan mereka ke server root pribadi Anda, dan biarkan pengujian dimulai.
Tetapi perlu diingat bahwa server root hanya tahu server mana yang berwenang untuk TLD, tidak ada yang lain. Anda pada dasarnya perlu membuat ulang seluruh hierarki server, yang sepertinya merupakan tugas yang mustahil.
sumber
Ya, salah satu fitur server DNS adalah caching lokal untuk permintaan yang sering diminta, terlalu sering melewati ttl yang ditentukan.
Anda pasti dapat menjalankan dns Anda sendiri, tidak masalah. Tetapi server root, dan server domain tingkat atas, Anda harus bertanya pada paman sam.
Mencatat semua permintaan dns dimungkinkan, tetapi akan menjadi gila.
sumber
Anda dapat menjalankan server root Anda sendiri jika suka, mereka tidak seperti yang Anda pikirkan. Lihat ini http://en.wikipedia.org/wiki/Alternative_DNS_root
sumber