Apakah ada batas resmi untuk penipuan server nama?

8

Catatan lem biasanya tidak tersedia jika domain dan server namanya tidak membagikan TLD, dan secara teknis tidak diperlukan jika mereka tidak berbagi domain tingkat kedua yang sama, yang dapat menyebabkan langkah tambahan untuk menyelesaikan domain. Penyelesai harus terlebih dahulu mencari alamat server nama sebelum dapat menemukan alamat untuk domain Anda. Tapi secara teori Anda bisa menambahkan lebih banyak langkah di sana daripada hanya dua.

Pertanyaannya di sini adalah, berapa lama rantai itu diizinkan ?

jika xyz.commenggunakan nameserver ns1.xyz.info,
dan xyz.infomenggunakan nameserver ns1.xyz.co,
dan xyz.comenggunakan nameserver ns1.xyz.cc,
dan xyz.ccmenggunakan nameserver ns1.xyz.co.uk, ... dan sebagainya

... Anda bisa berakhir dengan rantai yang sangat panjang untuk diselesaikan oleh resolver sebelum dapat menyelesaikan nama yang Anda inginkan.

Agaknya ada batas praktis - BIND seharusnya hanya bersedia untuk melewati begitu banyak tautan, jika tidak ada potensi penolakan layanan. Tetapi apakah ada batasan resmi? Beberapa langkah di luar yang resolver secara resmi tidak diperlukan untuk melanjutkan?

tylerl
sumber
1
Bagian "membatasi jumlah pekerjaan" di tools.ietf.org/html/rfc1035#section-7.1 adalah apa yang terlintas dalam pikiran saya. Ini tidak benar-benar spesifik untuk apa batasnya tetapi saya tidak menyadari ada beberapa aturan yang pasti mengenai hal ini.
Håkan Lindqvist
Juga, dapatkah Anda menguraikan beberapa skenario aktual di mana Anda melihat ini menjadi masalah (hal ini sangat tidak mungkin dalam praktiknya) atau merupakan pertanyaan yang murni bersifat akademis?
Håkan Lindqvist
@ HåkanLindqvist Saya sebenarnya membangun alat yang mencari masalah dalam konfigurasi DNS. Ini adalah salah satu masalah yang harus dicari. Pertanyaannya adalah, seberapa dalam sistem harus kambuh untuk mencari masalah lebih lanjut sebelum menyerah begitu saja.
tylerl
1
@tylerl Anda mungkin ingin melihat github.com/dotse/dnscheck .
Jenny D
@ Jenny ya, ada beberapa proyek di luar sana seperti itu. Tapi saya sedang membangun yang semoga memberikan detail yang lebih baik dan lebih mudah dipahami. Tapi terima kasih sudah menunjukkannya.
tylerl

Jawaban:

1
if xyz.com uses nameserver ns1.xyz.info,

Dalam hal ini, resolver lokal Anda terlebih dahulu akan menanyakan server .com(misalnya a.gtld-servers.net) di mana menemukan server nama untuk domain xyz.com. Server domain .com biasanya akan memberikan catatan lem untuk alamat IP dari server nama untuk domain xyz.com.

misalnya:

$ dig  gmail.com @a.gtld-servers.net 

; <<>> DiG 9.9.3-rpz2+rl.13214.22-P2-Ubuntu-1:9.9.3.dfsg.P2-4ubuntu1.1 <<>> gmail.com @a.gtld-servers.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46893
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 5
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;gmail.com.         IN  A

;; AUTHORITY SECTION:
gmail.com.      172800  IN  NS  ns2.google.com.
gmail.com.      172800  IN  NS  ns1.google.com.
gmail.com.      172800  IN  NS  ns3.google.com.
gmail.com.      172800  IN  NS  ns4.google.com.

;; ADDITIONAL SECTION:
ns2.google.com.     172800  IN  A   216.239.34.10
ns1.google.com.     172800  IN  A   216.239.32.10
ns3.google.com.     172800  IN  A   216.239.36.10
ns4.google.com.     172800  IN  A   216.239.38.10

;; Query time: 375 msec
;; SERVER: 192.5.6.30#53(192.5.6.30)
;; WHEN: Thu Jul 10 01:10:57 EST 2014
;; MSG SIZE  rcvd: 181

Dalam pengalaman saya, pernyataan Anda bahwa "Catatan lem biasanya tidak tersedia jika domain dan server namanya tidak membagikan TLD" sama sekali tidak benar. Namun itu tergantung pada data yang disediakan oleh pendaftar untuk domain, dan kebijakan mereka bervariasi. Beberapa membutuhkan IP untuk ditentukan. Beberapa menyerahkannya kepada pemilik domain. Saya pikir saya ingat satu di Australia yang tidak mendukung mereka. Jika jumlah pendaftar yang berurusan dengan domain negara Anda kecil, maka mungkin ini mungkin benar dalam bagian ruang domain itu, tetapi untuk internet secara keseluruhan ini tidak biasa.

Ini tentu praktik yang baik bagi pemilik domain untuk memberikan catatan Lem, tetapi kadang-kadang kemampuan untuk menentukan server DNS dengan nama tanpa menetapkan IP dilihat sebagai memberikan fleksibilitas, dan banyak pemilik domain tidak memahami masalah kinerja yang diciptakan ini.

Jika Anda menyediakan alat pelaporan DNS, apakah ini benar-benar batas kesalahan konfigurasi yang Anda minati? Tentunya itu lebih ke titik bagi Anda untuk melaporkan catatan lem yang hilang sebagai peringatan jika bahkan satu masalah catatan lem yang hilang itu hadir. Anda mungkin ingin melacak setidaknya beberapa tipuan seperti yang Anda berikan, (dan melaporkan catatan lem yang hilang) tetapi harus ada batasan seberapa jauh Anda harus mengikuti ini. Saya akan sangat senang jika alat pelaporan DNS memperingatkan 3 atau lebih yang pertama, karena saya hanya benar-benar tertarik untuk menambahkan catatan lem ke domain saya, atau beralih penyedia DNS untuk domain ke yang lebih kompeten.

Saya ragu dengan pendekatan DOS yang Anda usulkan pada BIND, karena BIND akan menyimpan informasi yang dikumpulkannya tentang lokasi server nama. Seorang penyerang harus membuat banyak domain tanpa lem dan kemudian membuat banyak pertanyaan tentang mereka. Biaya menyiapkan domain yang kemungkinan akan dibatalkan oleh registrar setelah digunakan cenderung membuat ini tidak menarik bagi penyerang.

mc0e
sumber
1
.com dan .net keduanya verisign. Mereka pengecualian. en.m.wikipedia.org/wiki/Verisign
tylerl
'Pengecualian' tampaknya mencakup sebagian besar TLD yang pernah saya kerjakan, tapi ya tentu saja ada domain tempat catatan lem tidak ada.
mc0e