Mengapa mengirim nameserver resmi dalam DNS?

11

Karena penasaran, saya sedang memeriksa paket DNS Wireshark. Saya dapat melihat bahwa ada permintaan DNS dari host, dan kemudian tanggapan DNS dari server DNS. Semuanya seperti yang diharapkan.

Namun, jika Anda memeriksa lebih lanjut dalam kueri, Anda dapat melihat bahwa server juga mengirim NS (server nama otoritatif). Pertanyaan saya adalah: mengapa?

Sebagai tuan rumah, saya hanya peduli dengan IP. Itulah titik utama DNS , untuk menyelesaikan nama menjadi alamat IP .

Mengapa, sebagai tuan rumah, apakah saya memerlukan informasi NS?

AhmedWas
sumber
1
@ downvoter, silakan komentar. Dan jika Anda pikir pertanyaan saya sangat mudah, maka setidaknya jawablah kemudian turunkan suara.
AhmedWas
6
Dengan filsafat dan desain orang yang anonim dan tidak voting up atau suara bawah membutuhkan penjelasan wajib . Tooltip yang muncul ketika pointer mouse Anda melayang di atas tombol ke bawah menyatakan: "pertanyaan ini tidak menunjukkan upaya penelitian apa pun; tidak jelas atau tidak berguna" . Juga pertanyaan dapat menarik suara turun ketika tidak ditulis dengan baik , tidak cukup pada topik atau rincian yang hilang.
HBruijn

Jawaban:

15

Server nama tradisional tidak mengirim respons singkat ke kueri tetapi respons penuh yang memenuhi standar RFC 1034 - 1035 yang mencakup bagian otoritas yang berisi Catatan Sumber Daya yang mengarah ke server nama otoritatif.

Alasannya mungkin karena dengan sifat DNS yang didistribusikan dan didelegasikan, tampaknya ide yang bagus pada saat itu untuk memasukkan "sumber kebenaran" dalam tanggapan.

Sunting: Ngomong-ngomong: mengirim bagian otoritas sesuai dengan RFC tetapi tidak wajib untuk semua respons permintaan.

Di BIND, perilaku ini dapat disetel dengan minimal-responses yes | no;arahan, di mana defaultnya adalah nodan bagian Otoritas dan Tambahan dari respons kueri akan selalu terisi penuh.
Server nama lain CloudFlare, AWS Route 53, Infoblocks dan mungkin yang lain sudah selalu mengirim respons minimal seperti itu secara default. Penyelesai publik Google akan mengembalikan bagian Otoritas bila tersedia, Cloudflare.


Saya pikir asal usul tradisi itu untuk memasukkan bagian otoritas dalam serta respon permintaan aktual menemukan akarnya dalam kode (semu) dari RFC882 halaman 15-16 yang sudah usang

If the name server is not authoritative, the code copies 
the RRs for a closer name server into the response.  

The last section of the code copies all relevant RRs into the response.
HBruijn
sumber
terima kasih atas hasil edit dan info tambahannya. Saya berharap saya bisa memberi Anda lebih dari satu suara UP :)
AhmedWas
Ini tidak benar-benar menjawab pertanyaan. Kami sudah tahu respons penuh diterima. Pertanyaannya adalah, apa manfaatnya ini? Mengapa standar dirancang dengan cara ini? Berapa nilai informasi "tambahan" dalam bentuk respons ini?
Lightness Races in Orbit
3
@LightnessRacesinOrbit kepada saya, jawabannya jelas: Server DNS tidak hanya memberi tahu saya bahwa example.com abcd; ia memberi tahu saya siapa yang mengatakannya. Ini terdengar epistemologis, karena saya tidak dapat secara akurat memberi tahu Anda bahwa saya tahu sesuatu adalah fakta ketika saya sebenarnya hanya tahu bahwa beberapa pihak ketiga menyatakan itu adalah fakta. Saya merasa lebih sulit untuk memecahkan masalah ketika orang-orang hadir kabar angin seolah-olah itu pengamatan, atau kesimpulan mereka seolah-olah bukti utama, dll. Perbedaan antara menyatakan X itu benar dan mengatakan kepada saya Y mengatakan itu benar sangat besar.
Monty Harder
1
@MontyHarder Ya, itu masuk akal, tapi yang saya katakan adalah bahwa itu harus ada dalam jawaban.
Lightness Races in Orbit
2
@LightnessRacesinOrbit RFC tidak selalu menyertakan motivasi desain. Untuk mengklarifikasi "sepertinya ide yang bagus pada saat itu" - Saya pikir alasan mengapa tradisional untuk memasukkan bagian otoritas di samping respon permintaan yang sebenarnya meskipun RFC saat ini tidak mandat yang menemukan asal-usulnya di (pseudo ) kode dari halaman RFC882 yang sekarang sudah usang 15-16 "... Jika server nama tidak resmi, kode akan menyalin RR untuk server nama yang lebih dekat ke dalam respons. Bagian terakhir dari kode menyalin semua RR yang relevan ke dalam respons ... "
HBruijn
5

Server tidak tahu apakah permintaan tersebut berasal dari klien akhir, atau permintaan rekursif dari server nama lain. Jika itu server nama lain, itu bisa men-cache Bagian Otoritas dan meminta server nama secara langsung di masa depan.

Saya percaya itu adalah pembenaran asli dalam protokol, tetapi memiliki implikasi keamanan. Respons dapat menyertakan Bagian Otoritas yang mencantumkan server nama palsu, dan ini telah digunakan dalam serangan keracunan cache. Jadi nameserver umumnya tidak akan men-cache catatan NS kecuali catatan delegasi untuk subdomain dari domain yang Anda query.

Barmar
sumber
Server sebenarnya dapat mengetahui perbedaan antara permintaan tersebut. Ada sedikit tanda untuk meminta rekursi.
kasperd
Server dapat mengirim kueri rekursif, misalnya ketika forwardersfitur digunakan.
Barmar
Tetapi jika Anda melakukan itu tidak akan peduli tentang server otoritatif.
kasperd