看板Config
标 题中文网址的发展?--anycast root 与 IPV6 root ?!
发信站中央大学松涛风情资讯站 (Sat Aug 21 14:30:49 2004)
转信站ptt!ctu-reader!ctu-peer!Spring!news.nctu!news.ntu!news.mcu!news.csie.m
> 这个方法, 说白了就是做一台跟 root server 完全一样内容,
> 也完全一样 ip-address 的 mirror root , 但使用 policy routing
> 的技术, 使得某一区得到 routing information 使之对 root server
> 的查询走某台特定 router 与路径到达某台 mirror root, 其它区则
> 是到另一台 router 走另一个路径到另一台同 ip-address 的 mirror
> root. 这是利用 router 当 switch 使某区用某一区的 mirror , 其
> 他区则用其他区的 mirror . 如果在使用 default route 的 dumb
> area 单一出口处摆一台 root mirror , 那就用不到 source-ip 的分
> 区 check , 因此一般 router 就容易做到.
===============================================================
F.root-servers.net 这台 DNS root mirror 肯开放到世界各地
表面上是 IETF/ICANN 放松 root server 管制, 但实质上是潜伏了一台
"监测器" 散布到各地, 同时把可以占据 dumb area 出口的全仿冒 13
root mirror 给打出一个缺口, 如果 ISC 的 F.root-servers 的查询讯
息量突然下降, 就可判定有 mirror cache 的可能性, 如果都从 mirror
cache 集中来问, 那更是可判断被拦截. 当然, 这个 F mirror root 依
旧是能被将计就计而破解, 只是难度就增加了.
最近冒出的 root serve 问题就是 IPV6 DNS root . DNS server
是 application program , 理论上与 IPV4 , IPV6 这类 TCP/IP 层是
无关的, 更何况 BIND DNS 有 source program 可以重新 compile/link,
就看是在那个 stack 上 link 就会有 V4 或 V6 的功能. 如果在一个装
了 V4/V6 dual stack 的机器上, 新的 BIND DNS 加了 AAAA A6 这类RR
因此能回答询问, 而且是不管询问的 dns client 是用 V4 还是 V6.
BIND DNS 能维持一统, 是在其程式当中崁进了 13 台 dns server
的 HINT table , 同时会透过 root server 的启动向其他 root server
线上要求 root server NS RR , 这个特异功能用了一个固定长度的讯息
格式, 据估算最多只能再塞进 2 台 IPV6 的 ROOT NS 资讯. 若要修定这
个格式, 就要考虑回溯相容问题, 还要顾虑一大堆要求多散置 DNS root
server 的问题. 最近这半年, 法国 IPV6 6-bone 实验装设了一台能让纯
V6 机器查询的 V6 dual stack DNS root, 大陆也宣称掌握了这个技术,
也做了类似实验. 法国是用 alternative root 技术, 这方法类似 TANET
的 mirror root 形式, 有自己的 ip-address 以取代 13 台 root 的 ip
address , 只是法国的 alternative root 是 dual stack , 有自己的V6
address 供纯 V6 直接查询.
现在最精彩的可能做法就是拿一台机器在 dumb area 出口做全仿冒
ip 的 anycast 13 台 root mirror, 同时也跑 v4/v6 dual stack 也有自
己的 V6 ip-address , 这台 V6 root dns 当然是要接到 V6 net 与 V6
tunnel 让其他纯 V6 机器来询问.
ICANN/IETF 现在也批准 13 台 root DNS server 的 V6 ip-address,
但还没有实施 dual stack root server, hint table 是个档案并没有 13
台的限制问题, 但启动一般 dns server 时, 会向已知的 root server 下
载 root NS RR 覆盖, 这个 BIND DNS 自动臣服, 接受改造归顺的特异功
能目前无法在回溯相容下接纳更多的 root server 资讯.
如果使用了 anycast partial root server , 例如 F root , 在 root
server 的询问中崁入一角, 就能藉之散布与核验比对正宗的 hint table ,
使得一般 BIND DNS 在判断後, 自动将不符的 root DNS server 列为伪冒
server 而拒绝来往.
--
◎ Origin: 中央松涛站□bbs.ee.ncu.edu.tw From: 140.115.6.234