Catatan lem biasanya tidak tersedia jika domain dan server namanya tidak membagikan TLD, dan secara teknis tidak diperlukan jika mereka tidak berbagi domain tingkat kedua yang sama, yang dapat menyebabkan langkah tambahan untuk menyelesaikan domain. Penyelesai harus terlebih dahulu mencari alamat server nama sebelum dapat menemukan alamat untuk domain Anda. Tapi secara teori Anda bisa menambahkan lebih banyak langkah di sana daripada hanya dua.
Pertanyaannya di sini adalah, berapa lama rantai itu diizinkan ?
jika xyz.com
menggunakan nameserver ns1.xyz.info
,
dan xyz.info
menggunakan nameserver ns1.xyz.co
,
dan xyz.co
menggunakan nameserver ns1.xyz.cc
,
dan xyz.cc
menggunakan nameserver ns1.xyz.co.uk
, ... dan sebagainya
... Anda bisa berakhir dengan rantai yang sangat panjang untuk diselesaikan oleh resolver sebelum dapat menyelesaikan nama yang Anda inginkan.
Agaknya ada batas praktis - BIND seharusnya hanya bersedia untuk melewati begitu banyak tautan, jika tidak ada potensi penolakan layanan. Tetapi apakah ada batasan resmi? Beberapa langkah di luar yang resolver secara resmi tidak diperlukan untuk melanjutkan?
sumber
Jawaban:
Dalam hal ini, resolver lokal Anda terlebih dahulu akan menanyakan server
.com
(misalnya a.gtld-servers.net) di mana menemukan server nama untuk domain xyz.com. Server domain .com biasanya akan memberikan catatan lem untuk alamat IP dari server nama untuk domain xyz.com.misalnya:
Dalam pengalaman saya, pernyataan Anda bahwa "Catatan lem biasanya tidak tersedia jika domain dan server namanya tidak membagikan TLD" sama sekali tidak benar. Namun itu tergantung pada data yang disediakan oleh pendaftar untuk domain, dan kebijakan mereka bervariasi. Beberapa membutuhkan IP untuk ditentukan. Beberapa menyerahkannya kepada pemilik domain. Saya pikir saya ingat satu di Australia yang tidak mendukung mereka. Jika jumlah pendaftar yang berurusan dengan domain negara Anda kecil, maka mungkin ini mungkin benar dalam bagian ruang domain itu, tetapi untuk internet secara keseluruhan ini tidak biasa.
Ini tentu praktik yang baik bagi pemilik domain untuk memberikan catatan Lem, tetapi kadang-kadang kemampuan untuk menentukan server DNS dengan nama tanpa menetapkan IP dilihat sebagai memberikan fleksibilitas, dan banyak pemilik domain tidak memahami masalah kinerja yang diciptakan ini.
Jika Anda menyediakan alat pelaporan DNS, apakah ini benar-benar batas kesalahan konfigurasi yang Anda minati? Tentunya itu lebih ke titik bagi Anda untuk melaporkan catatan lem yang hilang sebagai peringatan jika bahkan satu masalah catatan lem yang hilang itu hadir. Anda mungkin ingin melacak setidaknya beberapa tipuan seperti yang Anda berikan, (dan melaporkan catatan lem yang hilang) tetapi harus ada batasan seberapa jauh Anda harus mengikuti ini. Saya akan sangat senang jika alat pelaporan DNS memperingatkan 3 atau lebih yang pertama, karena saya hanya benar-benar tertarik untuk menambahkan catatan lem ke domain saya, atau beralih penyedia DNS untuk domain ke yang lebih kompeten.
Saya ragu dengan pendekatan DOS yang Anda usulkan pada BIND, karena BIND akan menyimpan informasi yang dikumpulkannya tentang lokasi server nama. Seorang penyerang harus membuat banyak domain tanpa lem dan kemudian membuat banyak pertanyaan tentang mereka. Biaya menyiapkan domain yang kemungkinan akan dibatalkan oleh registrar setelah digunakan cenderung membuat ini tidak menarik bagi penyerang.
sumber