Karena penasaran, saya sedang memeriksa paket DNS Wireshark. Saya dapat melihat bahwa ada permintaan DNS dari host, dan kemudian tanggapan DNS dari server DNS. Semuanya seperti yang diharapkan.
Namun, jika Anda memeriksa lebih lanjut dalam kueri, Anda dapat melihat bahwa server juga mengirim NS (server nama otoritatif). Pertanyaan saya adalah: mengapa?
Sebagai tuan rumah, saya hanya peduli dengan IP. Itulah titik utama DNS , untuk menyelesaikan nama menjadi alamat IP .
Mengapa, sebagai tuan rumah, apakah saya memerlukan informasi NS?
Jawaban:
Server nama tradisional tidak mengirim respons singkat ke kueri tetapi respons penuh yang memenuhi standar RFC 1034 - 1035 yang mencakup bagian otoritas yang berisi Catatan Sumber Daya yang mengarah ke server nama otoritatif.
Alasannya mungkin karena dengan sifat DNS yang didistribusikan dan didelegasikan, tampaknya ide yang bagus pada saat itu untuk memasukkan "sumber kebenaran" dalam tanggapan.
Sunting: Ngomong-ngomong: mengirim bagian otoritas sesuai dengan RFC tetapi tidak wajib untuk semua respons permintaan.
Di BIND, perilaku ini dapat disetel dengan
minimal-responses yes | no;
arahan, di mana defaultnya adalahno
dan bagian Otoritas dan Tambahan dari respons kueri akan selalu terisi penuh.Server nama lain CloudFlare, AWS Route 53, Infoblocks dan mungkin yang lain sudah selalu mengirim respons minimal seperti itu secara default. Penyelesai publik Google akan mengembalikan bagian Otoritas bila tersedia, Cloudflare.
Saya pikir asal usul tradisi itu untuk memasukkan bagian otoritas dalam serta respon permintaan aktual menemukan akarnya dalam kode (semu) dari RFC882 halaman 15-16 yang sudah usang
sumber
Server tidak tahu apakah permintaan tersebut berasal dari klien akhir, atau permintaan rekursif dari server nama lain. Jika itu server nama lain, itu bisa men-cache Bagian Otoritas dan meminta server nama secara langsung di masa depan.
Saya percaya itu adalah pembenaran asli dalam protokol, tetapi memiliki implikasi keamanan. Respons dapat menyertakan Bagian Otoritas yang mencantumkan server nama palsu, dan ini telah digunakan dalam serangan keracunan cache. Jadi nameserver umumnya tidak akan men-cache catatan NS kecuali catatan delegasi untuk subdomain dari domain yang Anda query.
sumber
forwarders
fitur digunakan.