1.域名如何防冒充 ? ICANN 死命维护公开使用的单一 root server 是有原因的. DNS server 是一种树状关系往下授权, 下层的 dns server 一定得向上层注册登录. 如果 不登录, 擅自设一台 ".com" dns server 胡乱回答询问会怎样 ? 答案是: 会被查出剔除. 假如一台合法的 DNS server 向一台冒充 ".com" 的 DNS server 查问 "playboy.com", 第一次会被骗, 但那台冒充的 DNS server 得回答她就是 那个 domain "playboy.com" 的 name server. 询问方就从 "." 往下问授权 的 ".com" ns name server 有那几个, 如果不是在授权名单里面, 那这个 name server 就是个 lame server , 连带的询问资料就会被 disable. 当然如果连 root 都包庇回答, 那就另当别论, 但局部范围的 local root 是可照 RFC 规范运作的, 其次是乾脆连 ip 都顶替, 全冒充的回答, 那就是 BGP anycast 的 F.ROOT-SERVERS.NET. 2.域名资料的完整一致性 一般的 DNS server 都是成套两个, 一为 master 一为 slave , 资料内 容完全一致, 这是确保内容完整一致, 但如果两台都被授权也都设为 master 可是内容不一致, 这就会造成 TTL 失效重新查问时, 会轮换向下个 NS 查询 就会随不同 NS server 有不同结果. 通常在 DNS server zone file 有 SOA 记录会记载那个是被授权的机器连络人. 3.虚拟主机与转址问题 当域名缩短为 xyz.com 时, 向 ".com" 注册是得到 "xyz.com" 这个域名 同时也可以兼某个机器的名字, 这时提供虚拟主机与转址者就面对一些麻烦, 首先是要模拟出一台域名为 "xyz.com" 的 DNS server, 然後对 xyz.com 这 个 host-name 要能转址, 转到某个机器的内部网页当入口网页, 但又要虚拟 到让访问者感觉好像那家被访问的公司自备有该 domain name 的一台 DNS server 也有一台 web server, 还有 mail server, 让承租者(含访问者)察觉 不出是"共用"server, 认为是花大代价一对一特殊设置但价位特优惠的服务. 共用一台 DNS server , 上面设定很多个"xyz.com" "abc.com".. Domain name 的 conf 与 zone file , 甚至是很多个 conf 设定但只共用一个 zone file data 也是可以的, 可是就是不如能用一个 "*.com" 设定代替. 4. 在何处可以突破 假设使用了 "*.com" 的 zone file , 照 * 在 DNS 作法的意义是查不到 的就看是否有 "*" label , 若有就以该记录为结果. 这就造成如果向这台 "*.com" 查询, 任何结果都会被回答其制式设定的结果, 甚至没有向 ".com" 注册的其他域名如 "ooxx.com" 也会被回答. 这就让 "*.com" 这台 DNS 变成 了冒牌的 "ooxx.com" name server , 这时候"*.com" NS 一定会被设为 lame server 而失效. 因此, 不仅是在 ".com" 有登录的名称就不回答还要请其向 上游询问, 但在 ".com" 有登录但没租用该 DNS 者也不该回答, 所以 "*" 的 匹配要同时查租用登录表, 回应时是回应与登录表名称一致的 xyz.com 而不是 *.com , 也就是看不出是个 "*.com" server. 5. 转址的问题 因为是制式设定, "xyz.com" 这个 hostname 就被指到同一台转址机器, 为 了避免通知 client 做 re-direction 以致 "xyz.com" 不再显示, 这个转址机 器应该是台 transparent proxy/agent 才能办到不更换 hostname , 由 proxy 查表找到对应的 URL 得出网页转过去, 因为是拿网页内容回应, 所以这个 proxy/agent server 可以兼做繁简转码. > 由於这是一个冒牌的 dnsProxy server, 她采取的策略就是不回答其他非被正式授 > 权的任何 data . 这样做就可以避免被当做冒充的 DNS server 列入拒绝往来户. > > xn--*.jp > Server: redirect1.jprs.jp > Address: 61.120.151.87 > Authoritative answers can be found from: ... > (root) nameserver = B.ROOT-SERVERS.NET > > *.jp > Server: redirect1.jprs.jp > Address: 61.120.151.87 > Authoritative answers can be found from: .... > (root) nameserver = H.ROOT-SERVERS.NET > > jp. > Server: redirect1.jprs.jp > Address: 61.120.151.87 > Authoritative answers can be found from: .... > (root) nameserver = E.ROOT-SERVERS.NET > > > ====================================================================== > 如同前面提及的 *.tw 把没有登录的都引到某台 DNS server(NS RR) 或 > web server(A RR) , 如果能区分域名, 例如 UTF-8 non-ASCII 与 ASCII 或是 > non xn-- 开头或 xn-- 开头就可进行分流到不同 server , 目前的 dnsProxy > re-directer 就是穷举式分流, 但被指向的 DNS server 则是个 Virtual DNS > 不必穷举造表, 但也不会对没有登录的非授权域名回答. 这是 *.tw(NS RR) 的 > 改良型, 仍然类似 * , 但要再查询是否在 .tw 记录有的下层 NS record 就是 > 这台 DNS 者才要回答, 也就是合法授权归其处理者才统一代理回答, 其余皆不 > 答. 这一点, 台湾的 Virtual DNS , Virtual Host 技术已落後一年. -- ◎ Origin: 中央松涛站□bbs.ee.ncu.edu.tw From: 140.115.6.234