1.域名如何防冒充 ? ICANN 死命維護公開使用的單一 root server 是有原因的. DNS server 是一種樹狀關係往下授權, 下層的 dns server 一定得向上層註冊登錄. 如果 不登錄, 擅自設一台 ".com" dns server 胡亂回答詢問會怎樣 ? 答案是: 會被查出剔除. 假如一台合法的 DNS server 向一台冒充 ".com" 的 DNS server 查問 "playboy.com", 第一次會被騙, 但那台冒充的 DNS server 得回答她就是 那個 domain "playboy.com" 的 name server. 詢問方就從 "." 往下問授權 的 ".com" ns name server 有那幾個, 如果不是在授權名單裡面, 那這個 name server 就是個 lame server , 連帶的詢問資料就會被 disable. 當然如果連 root 都包庇回答, 那就另當別論, 但局部範圍的 local root 是可照 RFC 規範運作的, 其次是乾脆連 ip 都頂替, 全冒充的回答, 那就是 BGP anycast 的 F.ROOT-SERVERS.NET. 2.域名資料的完整一致性 一般的 DNS server 都是成套兩個, 一為 master 一為 slave , 資料內 容完全一致, 這是確保內容完整一致, 但如果兩台都被授權也都設為 master 可是內容不一致, 這就會造成 TTL 失效重新查問時, 會輪換向下個 NS 查詢 就會隨不同 NS server 有不同結果. 通常在 DNS server zone file 有 SOA 記錄會記載那個是被授權的機器連絡人. 3.虛擬主機與轉址問題 當域名縮短為 xyz.com 時, 向 ".com" 註冊是得到 "xyz.com" 這個域名 同時也可以兼某個機器的名字, 這時提供虛擬主機與轉址者就面對一些麻煩, 首先是要模擬出一台域名為 "xyz.com" 的 DNS server, 然後對 xyz.com 這 個 host-name 要能轉址, 轉到某個機器的內部網頁當入口網頁, 但又要虛擬 到讓訪問者感覺好像那家被訪問的公司自備有該 domain name 的一台 DNS server 也有一台 web server, 還有 mail server, 讓承租者(含訪問者)察覺 不出是"共用"server, 認為是花大代價一對一特殊設置但價位特優惠的服務. 共用一台 DNS server , 上面設定很多個"xyz.com" "abc.com".. Domain name 的 conf 與 zone file , 甚至是很多個 conf 設定但只共用一個 zone file data 也是可以的, 可是就是不如能用一個 "*.com" 設定代替. 4. 在何處可以突破 假設使用了 "*.com" 的 zone file , 照 * 在 DNS 作法的意義是查不到 的就看是否有 "*" label , 若有就以該記錄為結果. 這就造成如果向這台 "*.com" 查詢, 任何結果都會被回答其制式設定的結果, 甚至沒有向 ".com" 註冊的其他域名如 "ooxx.com" 也會被回答. 這就讓 "*.com" 這台 DNS 變成 了冒牌的 "ooxx.com" name server , 這時候"*.com" NS 一定會被設為 lame server 而失效. 因此, 不僅是在 ".com" 有登錄的名稱就不回答還要請其向 上游詢問, 但在 ".com" 有登錄但沒租用該 DNS 者也不該回答, 所以 "*" 的 匹配要同時查租用登錄表, 回應時是回應與登錄表名稱一致的 xyz.com 而不是 *.com , 也就是看不出是個 "*.com" server. 5. 轉址的問題 因為是制式設定, "xyz.com" 這個 hostname 就被指到同一台轉址機器, 為 了避免通知 client 做 re-direction 以致 "xyz.com" 不再顯示, 這個轉址機 器應該是台 transparent proxy/agent 才能辦到不更換 hostname , 由 proxy 查表找到對應的 URL 得出網頁轉過去, 因為是拿網頁內容回應, 所以這個 proxy/agent server 可以兼做繁簡轉碼. > 由於這是一個冒牌的 dnsProxy server, 她採取的策略就是不回答其他非被正式授 > 權的任何 data . 這樣做就可以避免被當做冒充的 DNS server 列入拒絕往來戶. > > xn--*.jp > Server: redirect1.jprs.jp > Address: 61.120.151.87 > Authoritative answers can be found from: ... > (root) nameserver = B.ROOT-SERVERS.NET > > *.jp > Server: redirect1.jprs.jp > Address: 61.120.151.87 > Authoritative answers can be found from: .... > (root) nameserver = H.ROOT-SERVERS.NET > > jp. > Server: redirect1.jprs.jp > Address: 61.120.151.87 > Authoritative answers can be found from: .... > (root) nameserver = E.ROOT-SERVERS.NET > > > ====================================================================== > 如同前面提及的 *.tw 把沒有登錄的都引到某台 DNS server(NS RR) 或 > web server(A RR) , 如果能區分域名, 例如 UTF-8 non-ASCII 與 ASCII 或是 > non xn-- 開頭或 xn-- 開頭就可進行分流到不同 server , 目前的 dnsProxy > re-directer 就是窮舉式分流, 但被指向的 DNS server 則是個 Virtual DNS > 不必窮舉造表, 但也不會對沒有登錄的非授權域名回答. 這是 *.tw(NS RR) 的 > 改良型, 仍然類似 * , 但要再查詢是否在 .tw 記錄有的下層 NS record 就是 > 這台 DNS 者才要回答, 也就是合法授權歸其處理者才統一代理回答, 其餘皆不 > 答. 這一點, 台灣的 Virtual DNS , Virtual Host 技術已落後一年. -- ◎ Origin: 中央松濤站□bbs.ee.ncu.edu.tw From: 140.115.6.234