อะไรคือความเสี่ยงของการเชื่อถือส่วนเพิ่มเติมเมื่อตรงกับส่วนผู้มีอำนาจ

ในแง่ของความปลอดภัย อะไรคือเหตุผลที่จะไม่เชื่อถือส่วนเพิ่มเติมเมื่อตรงกับส่วน AUTHORITY

ไม่มีการรักษาความปลอดภัยเลยเกี่ยวกับ เพิ่มเติม ส่วน. ในกรณีของ DNSSEC บันทึกใน ผู้มีอำนาจ และ คำตอบ ส่วนที่มีการลงนาม แต่ผู้ที่อยู่ใน เพิ่มเติม ไม่ได้ ดังนั้นลูกค้า ไม่ได้ เชื่อถือเนื้อหาของ เพิ่มเติม มาจากเนมเซิร์ฟเวอร์ที่เชื่อถือได้จริง ๆ อาจมีการแก้ไขระหว่างการขนส่ง

ดังนั้นแม้ว่าคุณจะคิดว่าบันทึกที่ได้รับ "ตรงกัน" ผู้มีอำนาจ อาจถูกแย่งชิงโดยผู้โจมตีในเส้นทางโดยสิ้นเชิง

ไคลเอนต์ DNS ส่วนใหญ่หากไม่ใช่ทั้งหมดจะหลีกเลี่ยงการใช้ข้อมูลใดๆ ใน เพิ่มเติม ยกเว้นในกรณีที่ไม่มีวิธีอื่นแล้ว นั่นคือเมื่อจำเป็นต้องใช้กาว จำเป็นต้องใช้กาวทางเทคนิคเฉพาะเมื่อเนมเซิร์ฟเวอร์อยู่ใน Bailiwick ซึ่งอยู่ที่หรือต่ำกว่าชื่อโดเมน ไม่ใช่แค่ด้านล่าง TLD เดียวกัน ซึ่งเป็นเพียงภายในอย่างที่เราเห็นที่นี่ แต่จริง ๆ แล้วเป็นการสอบถามชื่อโดเมนใน Bailiwick

ที่นี่, ns-912.awsdns-50.net. ไม่ได้อยู่ใน Bailiwick ของ allcosts.net. และด้วยเหตุนี้จึงมีอยู่ใน เพิ่มเติม เป็นทั้งทางเลือกและดีกว่าที่จะเพิกเฉย

แต่ขอให้เรากลับไปแก้ไขชื่อของคุณโดยทำตามขั้นตอนทั้งหมด และดูว่าเราต้องการบันทึกนี้ใน เพิ่มเติม ส่วนและวิธีการช่วยเหลือ

ขั้นตอนที่ 1

allcosts.net ให้บริการโดย:

• ns-22.awsdns-02.com.
• ns-912.awsdns-50.net.
• ns-1834.awsdns-37.co.uk.
• ns-1233.awsdns-26.org.

ในการรับข้อมูลใด ๆ จะต้องติดต่อเนมเซิร์ฟเวอร์หนึ่งใน 4 เซิร์ฟเวอร์นี้ ดังนั้นชื่อจึงต้องได้รับการแก้ไข โปรดทราบว่าลูกค้าต้องการเพียงรายการเดียวและไม่จำเป็นต้องตรวจสอบทั้ง 4 รายการ แต่ให้เราพยายามแก้ไขชื่อทั้ง 4 นั้น

ขั้นตอนที่ 2a: ns-22.awsdns-02.com.

โดเมน awsdns-02.com. ให้บริการโดย:

• g-ns-3.awsdns-02.com.
• g-ns-578.awsdns-02.com.
• g-ns-1154.awsdns-02.com.
• g-ns-1730.awsdns-02.com.

โปรดทราบว่าชื่อทั้ง 4 นี้อยู่ในโดเมนนี้อย่างไร ดังนั้นเนมเซิร์ฟเวอร์หลักจึงส่งคืนกาว (ก และ AAAA ระเบียน) ทั้ง ๔ นั้น จึงชื่อว่า ns-22.awsdns-02.com. สามารถแก้ไขได้อย่างสมบูรณ์ และคำขอเริ่มต้นสามารถหยุดลงได้หากเลือกเซิร์ฟเวอร์ชื่อนี้ บันทึกในครั้งแรก เพิ่มเติม ส่วนนี้ไร้ประโยชน์ที่นี่

ขั้นตอนที่ 2b: ns-912.awsdns-50.net.

โดเมน awsdns-50.net. ให้บริการโดย:

• g-ns-1970.awsdns-50.net.
• g-ns-499.awsdns-50.net.
• g-ns-820.awsdns-50.net.
• g-ns-1394.awsdns-50.net.

อีกครั้ง bailiwick ทั้งหมด ข้อสรุปเช่นเดียวกับขั้นตอนก่อนหน้า สังเกตอย่างไร ns-912.awsdns-50.net. ไม่ปรากฏที่ใดที่นี่ ดังนั้นที่อยู่ IP ของมันอีกครั้งในตอนแรก เพิ่มเติม ส่วนคือ ไม่ต้องการ.

ขั้นตอนที่ 2ค ns-1834.awsdns-37.co.uk.

เพื่อตัดเรื่องให้สั้นลงอีกครั้ง awsdns-37.co.uk. ให้บริการโดยชื่อโดเมน in-bailiwick 4 ชื่อ ข้อสรุปเดียวกัน

ขั้นตอนที่ 2d ns-1233.awsdns-26.org.

เหมือนกัน.

บทสรุป

ไม่ว่าจะแก้ชื่อใดๆก็ตาม allcosts.net.ที่อยู่ IP ของ ns-912.awsdns-50.net. ที่กำหนดไว้ใน เพิ่มเติม ส่วน จะไม่ ใช้เพราะไม่จำเป็น เนมเซิร์ฟเวอร์ที่เชื่อถือได้สำหรับ awsdns-50.net. จะถูกสอบถามเพื่อรับชื่อ ns-912.awsdns-50.net. เนื่องจากเนื้อหาจากผู้ปกครองจะไม่ได้รับความเชื่อถือ

คำลงท้าย

แต่ถ้าไร้ประโยชน์ เหตุใดจึงมีบันทึกนี้อยู่

เพราะ ns-912.awsdns-50.net. ได้รับการลงทะเบียนที่สำนักทะเบียนที่เกี่ยวข้องในฐานะวัตถุโฮสต์โดยนายทะเบียนของ awsdns-50.net.. คุณสามารถดูได้ใน whois:

$ whois -h whois.verisign-grs.com 'nameserver ns-912.awsdns-50.net'
   ชื่อเซิร์ฟเวอร์: NS-912.AWSDNS-50.NET
   ที่อยู่ IP: 205.251.195.144
   นายทะเบียน: MarkMonitor Inc.
   ผู้รับจดทะเบียนเซิร์ฟเวอร์ WHOIS: whois.markmonitor.com
   URL ผู้รับจดทะเบียน: http://www.markmonitor.com
>>> อัพเดทฐานข้อมูล whois ครั้งล่าสุด: 2022-01-09T07:02:41Z <<<

วัตถุโฮสต์นี้ไม่มีประโยชน์จริง ๆ (เพราะชื่อโฮสต์นี้คือ ไม่ มอบอำนาจ awsdns-50.net.) แต่อาจถูกใช้ในอดีตหรือชื่อโดเมนอื่นภายใต้ คอม หรือ สุทธิ (เป็นรีจิสทรีเดียวกัน) ใช้วัตถุโฮสต์นี้ ดังนั้นจึงไม่สามารถลบได้

โปรดทราบว่าไม่มีผลการดำเนินการเนื่องจากที่อยู่ IP ตรงกัน:

$ ขุด NS-912.AWSDNS-50.NET @g-ns-1394.AWSDNS-50.NET + สั้น
205.251.195.144

การติดกาวจะกลายเป็นปัญหาเมื่อ IP เปลี่ยนด้านหนึ่ง (เช่น: ลูก) โดยไม่ได้ซิงโครไนซ์กับอีกด้านหนึ่ง (พาเรนต์) แต่อีกครั้ง แม้ว่าที่นี่จะไม่ส่งผลกระทบใด ๆ เนื่องจาก เพิ่มเติม บันทึกไม่จำเป็นต้องแก้ไขอะไรภายใต้ allcosts.net..