এটি কি সত্য যে কোনও নেমসার্ভারের টিসিপিতে প্রশ্নের উত্তর দিতে হবে?


23

আমি বেশ কয়েকটি বড় ওয়েব হোস্টের ডিএনএস সার্ভারের একটি নজরদারি সেটআপ করার প্রক্রিয়া। আমার লক্ষ্য হ'ল তাদের ডিএনএস সার্ভারের প্রতিক্রিয়ার বারগুলিকে পিংয়ের প্রতিক্রিয়া ট্র্যাক করে তুলনা করা।

প্রক্রিয়াটিতে, আমি আবিষ্কার করেছি যে ব্লুহোস্ট নেমসার্ভারগুলি পিংয়ের প্রতিক্রিয়া জানায় না। আমি ব্লুহোস্ট.কম এ পিংডম ডিএনএস চেক চালিয়ে আরও তথ্য পাওয়ার চেষ্টা করেছি এবং এটি নিম্নলিখিত ত্রুটিটি সৃষ্টি করেছে:

নাম সার্ভার ns1.bluehost.com (74.220.195.31) টিসিপি-র উপর প্রশ্নের উত্তর দেয় না।

নাম সার্ভার টিসিপিতে পাঠানো প্রশ্নের উত্তর দিতে ব্যর্থ হয়েছে। সম্ভবত সার্ভারটি সঠিকভাবে সেট আপ না করা বা ফায়ারওয়ালে ভুল কনফিগার করা ফিল্টারিংয়ের কারণে এটি ঘটতে পারে। এটি একটি সাধারণ ভুল ধারণা যে জোন ট্রান্সফার না দিলে ডিএনএসের টিসিপি দরকার হয় না - সম্ভবত নাম সার্ভার প্রশাসক জানেন না যে টিসিপি সাধারণত প্রয়োজন হয়।

আমি নিম্নলিখিত জানতে চাই:

  • উপরের বক্তব্যটি কতটা সত্য?
  • কোনও নামসভার টিসিপিতে প্রশ্নের উত্তর না দিয়ে কী কী প্রভাব ফেলবে?

উত্তর:


47

পিংডম থেকে ডায়াগনস্টিক পাঠ্যটি ঠিক সঠিক। টিসিপি শুধুমাত্র জোন স্থানান্তরের জন্য নয়

DNS সার্ভার বাস্তবায়নের করছে এখন বিভিন্ন TCP প্রতি সমর্থন করার জন্য "প্রয়োজনীয়" (এত কোন বোঝায় যা RFC কিছু প্রয়োজন হিসাবে) জন্য RFC 5966 , "- বাস্তবায়ন আবশ্যকতা TCP উপর ডিএনএস পরিবহন"।

নোট করুন যে এটি সার্ভার সফ্টওয়্যার বাস্তবায়নের একটি প্রয়োজনীয়তা, এটি কোনও সার্ভারের ক্রিয়াকলাপের জন্য কঠোরভাবে প্রযোজ্য নয় - অপারেশনাল অনুশীলনটি আচ্ছাদিত নয়।

এটি বলেছে যে, যদি আপনার নির্দিষ্ট ডিএনএস সার্ভারগুলি টিসিপি সমর্থন করার জন্য কনফিগার করা না হয় বা এটি অবরুদ্ধ করা হয়, তবে দীর্ঘমেয়াদী প্রভাবটি DNSSEC কে সঠিকভাবে সমর্থন করতে অক্ষম হবে। একইভাবে অন্য যে কোনও ডিএনএস ডেটা যার ফলে প্রতিক্রিয়াগুলি 512 বাইটের বেশি হয় তাকে অবরুদ্ধ করা যেতে পারে।

ওব অস্বীকৃতি: আমি লিখেছি যে আরএফসি।

সম্পাদনা আরএফসি 5966 এখন আরএফসি 7766 দ্বারা প্রতিস্থাপন করা হয়েছে


আরই: অপারেশনাল অনুশীলন, যিনি ডিএনএসএসইসি ঘৃণা করেন তিনি সহজেই টিসিপি অক্ষম করতে পারেন এবং ভাল পরিমাপের জন্য এটি ফায়ারওয়ালে ফেলে দিতে পারেন। আশ্চর্যজনকভাবে, এর পরিণতিও রয়েছে। দুটি শেষ পয়েন্টে EDNS0 এর জন্য কোনও পরিমাণের সমর্থন তাদের মধ্যে থাকা ডিভাইসগুলিকে কোনওভাবে হস্তক্ষেপ করতে বাধ্য করতে পারে না। (টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরো টুকরা তেমনি, পুনরাবৃত্ত হওয়া সার্ভারে এটিকে অক্ষম করা আপনাকে ডিএনএস থেকে পৃথক করে জবাব দেয় যে আপনার মেইল ​​ক্লাস্টারের স্প্যামের সাথে ডিল করার প্রয়োজন হতে পারে।
অ্যান্ড্রু বি

3

এটি টিসিপি এবং ইউডিপি সমর্থন করবে - টিসিপি হ'ল প্রতিক্রিয়া আকার> 512 বাইট (যা জোন ট্রান্সফার অন্তর্ভুক্ত করবে) (যেভাবেই পড়েছি, স্টাফ অনুসারে আমি সাধারণত এনএস এর জন্য চালিত টিসিপি এবং ইউডিপি সক্ষম করি ...)


-2

আরএফসিরা এই বিষয়ে কী বলে তা জেনে রাখা ভাল এবং এটি সম্পর্কে ইতিমধ্যে আমাদের কাছে একটি ভাল প্রামাণিক উত্তর রয়েছে, তবে ব্যবহারিক উদ্দেশ্যে, আমি ডিজেবিডিএনএসের লেখক প্রফেসর ড্যানিয়েল জে বার্নস্টেইনের পরামর্শ পেয়েছি, যা বেশ বিনোদনমূলক।

http://cr.yp.to/djbdns/tcp.html# কেন (2003-01-16)

টিসিপি কোয়েরি কখন প্রেরণ করা হয়?

আপনি যদি নিম্নলিখিত অবস্থার মধ্যে থাকেন তবে টিসিপি প্রশ্নের উত্তর দেওয়ার জন্য আপনাকে আপনার ডিএনএস সার্ভারটি কনফিগার করতে হবে:

  • আপনি 512 বাইটের চেয়ে বড় রেকর্ড সেট প্রকাশ করতে চান। (এটি প্রায় সর্বদা একটি ভুল।)
  • আপনি আউটগোয়িং জোন স্থানান্তরকে অনুমতি দিতে চান, উদাহরণস্বরূপ কোনও তৃতীয় পক্ষের সার্ভারে।
  • একটি প্যারেন্ট সার্ভার আপনি টিসিপি পরিষেবা সেট আপ না করা পর্যন্ত আপনাকে কোনও নাম অর্পণ করতে অস্বীকার করে।

যদি আপনি এই পরিস্থিতিতে কোনও একটিতে না থাকেন তবে আপনার টিসিপি পরিষেবা সরবরাহ করার দরকার নেই এবং আপনার এটি সেট আপ করা উচিত নয়। ডিএনএস-ওভার-টিসিপি ডিএনএস-ওভার-ইউডিপির চেয়ে অনেক ধীর এবং প্রকৃতপক্ষে পরিষেবা অস্বীকারের ক্ষেত্রে অনেক বেশি দুর্বল। (এটি BIND- এও প্রযোজ্য))

দ্রষ্টব্য যে তিনি ডিএনএসএসইসির একটি সুস্পষ্ট উল্লেখ বাদ দিয়েছেন; কারণ হ'ল ডিজেবি অনুসারে, ডিএনএসএসইসি "সর্বদা ভুল" বিভাগের অধীনে চলে আসে। আরও তথ্যের জন্য https://cr.yp.to/djbdns/forgery.html দেখুন । ডিজেবির একটি বিকল্প স্ট্যান্ডার্ড রয়েছে, নামটি ডিএনএসকারভে - http://dnscurve.org/ - যা ইতিমধ্যে কিছু সরবরাহকারী (যেমন ওপেনডিএনএস) দ্বারা স্বতন্ত্রভাবে গৃহীত হয়েছে। আগ্রহের বিষয়: /security/45770/if-dnssec-is-so-questionable-why-is-it-ahead-of-dnscurve-in-adoption

মনে রাখবেন যে ডিজেবিডিএনএস সেটআপে উপরের ডকুমেন্টেশনগুলি যদি এর বৈশিষ্ট্যগুলির কোনও ইঙ্গিত দেয় তবে দেখা যায় যে এটি কেবলমাত্র টিসিপি-র জন্য এক্সএফআর সমর্থন করে। যেহেতু অনেক সরবরাহকারী এখনও ডিজেবিডিএনএস ব্যবহার করেন, তাই তারা অতিরিক্ত প্রচেষ্টা ছাড়াই টিসিপিতে ডিএনএসকে সমর্থন করার সম্ভাবনা কম।

পিএস নোট করুন যে ডিজেবি বাস্তবে সে যা প্রচার করে তা অনুশীলন করে। তার নিজস্ব সার্ভার, (1), ডিএনএস কর্কিভ চালায়, (2), টিসিপিকে সঠিকভাবে উত্তর দেয় না। কেবলমাত্র +notcpসফল হবে (যা ডিফল্ট):

% dig +trace @ordns.he.net +notcp cr.yp.to | tail
yp.to.                  86400   IN      NS      uz5dz39x8xk8wyq3dzn7vpt670qmvzx0zd9zg4ldwldkv6kx9ft090.ns.yp.to.
yp.to.                  86400   IN      NS      uz5jmyqz3gz2bhnuzg0rr0cml9u8pntyhn2jhtqn04yt3sm5h235c1.yp.to.
;; Received 300 bytes from 216.74.32.100#53(tonic.to) in 151 ms

cr.yp.to.               600     IN      A       131.155.70.11
cr.yp.to.               600     IN      A       131.155.70.13
yp.to.                  3600    IN      NS      uz5jmyqz3gz2bhnuzg0rr0cml9u8pntyhn2jhtqn04yt3sm5h235c1.yp.to.
yp.to.                  3600    IN      NS      uz5dz39x8xk8wyq3dzn7vpt670qmvzx0zd9zg4ldwldkv6kx9ft090.yp.to.
;; Received 244 bytes from 131.155.70.13#53(uz5jmyqz3gz2bhnuzg0rr0cml9u8pntyhn2jhtqn04yt3sm5h235c1.yp.to) in 14 ms

যেখানে কোনওটি +tcpব্যর্থ হবে (স্পষ্টতই তার কোন সার্ভারটি নির্বাচিত হবে তার উপর নির্ভর করে ভিন্ন ত্রুটি বার্তার সাথে):

% dig +trace @ordns.he.net +tcp cr.yp.to | tail
yp.to.                  86400   IN      NS      uz5hjgptn63q5qlch6xlrw63tf6vhvvu6mjwn0s31buw1lhmlk14kd.ns.yp.to.
;; Received 300 bytes from 216.74.32.100#53(tonic.to) in 150 ms

;; Connection to 131.155.71.143#53(uz5dz39x8xk8wyq3dzn7vpt670qmvzx0zd9zg4ldwldkv6kx9ft090.ns.yp.to) for cr.yp.to failed: connection refused.
;; communications error to 131.155.70.13#53: end of file
;; Connection to 131.155.71.143#53(uz5dz39x8xk8wyq3dzn7vpt670qmvzx0zd9zg4ldwldkv6kx9ft090.ns.yp.to) for cr.yp.to failed: connection refused.
;; communications error to 131.155.70.13#53: end of file
;; Connection to 131.155.71.143#53(uz5dz39x8xk8wyq3dzn7vpt670qmvzx0zd9zg4ldwldkv6kx9ft090.ns.yp.to) for cr.yp.to failed: connection refused.
;; communications error to 131.193.32.147#53: end of file
;; connection timed out; no servers could be reached

2
আপনার ডিজেবি ফ্যানবোই অভিনয়টি বরং পরা হচ্ছে। ডিএনএস সম্প্রদায় ডিএনেসএসইসি বেছে নিয়েছেন, এবং আরো অনেক DNSCurve সম্পর্কে সাহিত্যের সম্পূর্ণরূপে conflates লম্ব প্রয়োজনীয়তা ডেটার সত্যতা এবং ডেটার এনক্রিপশন । আইএমএনএসএইচও, আপনার উত্তরের বেশিরভাগ অংশ এই প্রশ্নের কোনও কিছুই অবদান রাখে না
Alnitak

অ্যালনিটাক, আপনার জেদ যে টিএনসিপি ডিএনএসের জন্য প্রয়োজনীয় তা ডিএনএসের জন্য প্রকৃত প্রয়োজনীয়তা তৈরি করে না। স্পষ্টতই প্রচুর লোকেরা টিসিপি ছাড়াই চলে এবং তাদের নিজস্ব ওয়েবসাইটের উপলব্ধতার সাথে কোনও সমস্যা অনুভব করে না। তবুও আপনি ভুল তথ্য এবং এফইউডি প্রচার করছেন।
সিএনএসটি

2
দস্তাবেজটি কি সত্যিই 2003? আপনি সরাসরি মুখ দিয়ে কীভাবে দাবি করতে পারেন যে এটি 2017 সালে এখনও প্রাসঙ্গিক?
মাইকেল হ্যাম্পটন

1
@ মিশেলহ্যাম্পটন, হ্যাঁ, আন্তরিকভাবে এবং সম্পূর্ণরূপে। কিছু জিনিস পরিবর্তিত হয় না, এবং ডিজেবি একটি গাধা হতে পারে, তবে সে এটিতে বেশ স্মার্ট। তিনি যে সমস্ত যুক্তি উপস্থাপন করেন সেগুলি দার্শনিক প্রকৃতির এবং প্রযুক্তির মতো পরিবর্তন হয় না। এদিকে, (১) কেন বিশ্বাস করা এত কঠিন, (২), এমনকি পুরানো আরএফসিগুলির সাথে কেন সরাসরি যুক্ত হয়ে সংযুক্ত করা হচ্ছে, এবং আপনাকে ভণ্ড না করে, (৩), আপনার কী প্রকৃত পাল্টাপাল্টি রয়েছে? একটি তারিখ"? লোকেরা বলে চলেছে যে তার পথে আন্তঃক্ষমতা সমস্যা রয়েছে, তবুও খুব যুক্তি প্রস্তাব করা হচ্ছে (যেমন, বাউন্সড মেল) 2003 সালে তিনি ফিরে এসেছিলেন!
সিএনএস

-5

টিসিপি কেবলমাত্র প্রয়োজনীয়, এবং সাধারণত শুধুমাত্র যখন দীর্ঘ প্রতিক্রিয়া প্রয়োজন হয় তখন ব্যবহৃত হয়। নেতিবাচক প্রভাব থাকতে পারে। জোন স্থানান্তরগুলি বড় হওয়ায় টিসিপির মাধ্যমে সম্পন্ন হয় এবং এটি নির্ভরযোগ্য হওয়া দরকার। অবিশ্বস্ত সার্ভার থেকে টিসিপিকে অনুমতি না দেওয়া কেবলমাত্র ছোট উত্তর দেওয়া হয়েছে তা নিশ্চিত করার এক উপায়।

স্বাক্ষরিত ডিএনএস উত্তরগুলি প্রবর্তনের সাথে সাথে ইউপিডি উত্তরগুলির 512 বাইট সীমাটি ningিলা করার প্রয়োজনীয়তা রয়েছে। EDNS0 দীর্ঘ UDP প্রতিক্রিয়াগুলির জন্য প্রক্রিয়া সরবরাহ করে। টিসিপির মাধ্যমে ডিএনএসকে মঞ্জুরি দিতে ব্যর্থ হওয়ার ফলে একটি সুরক্ষিত ডিএনএস বাস্তবায়ন ভঙ্গ হওয়ার সম্ভাবনা খুব বেশি।

কোনও ডিএনএস সার্ভার চালানো পুরোপুরি সম্ভব যা কেবলমাত্র ইউডিপি পোর্ট 53 ইন্টারনেটের জন্য উন্মুক্ত। ডিএনএস পিয়ারগুলিতে টিসিপি অ্যাক্সেস প্রয়োজন, তবে এটি হোস্টের একটি ছোট তালিকা।

একটি নতুন আরএফসি 596 রয়েছে যার পুরো ডিএনএস প্রয়োগের জন্য এখন টিসিপি প্রয়োজন। এটি বাস্তবায়নকারীদের লক্ষ্য। দলিলগুলি অপারেটরগুলিকে বিশেষভাবে সম্বোধন করে না, তবে সতর্ক করে দিয়েছে যে টিসিপিকে অনুমতি না দেওয়ার ফলে অনেকগুলি ব্যর্থতার পরিস্থিতি দেখা দিতে পারে। এটি বিভিন্ন ধরণের ব্যর্থতার বিবরণ দেয় যা যদি টিসিপি-র উপরে ডিএনএস সমর্থিত না হয় তবে ফলাফল হতে পারে।

ডিএনএস পরিবর্ধনের আক্রমণ রোধে টিসিপি ব্যবহারের বিষয়ে আলোচনা হয়েছে। টিসিপির নিজস্ব ঝুঁকির অস্বীকার রয়েছে, তবে বিতরণ আরও কঠিন।


DNSSEC সীমাটি আলগা করেনি, EDNS0 করেছে, 1999 সালে (আরএফসি 2671 দেখুন)।
Alnitak

না, অ্যালনিটাকের ব্যাখ্যা অনুসারে, টিসিপি বেশিরভাগ ক্ষেত্রেই প্রয়োজনীয় (যদি আপনি একেবারেই নিশ্চিত না হতে পারেন যে আপনার কোনও উত্তর হবে না> 512 বাইট, এমন কিছু যা আপনি সাধারণত আগাম জানেন না)
বোর্টজমায়ার

আমি কেবলমাত্র ইউডিপিকে অনুমতি দিয়ে ফায়ারওয়ালের মাধ্যমে সফলভাবে ডিএনএস চালিয়েছি। প্যাথলজিকাল কনফিগারেশন ব্যতীত, ঠিকানা দর্শনগুলি 512 টি অক্ষরের অধীনে থাকবে। আমি উল্লেখগুলি দেখেছি যে ডিএনএস পাথগুলি 256 টি অক্ষরের মধ্যে সীমাবদ্ধ। আমার মেল সার্ভারের ডাটাবেসের প্রমাণ প্রমাণ করে যে সার্ভার ডিএনএস পাথগুলি খুব কমই 100 অক্ষর অতিক্রম করে এবং পিটিআর রেকর্ডে একাধিক নাম ফিরে আসা সাইটগুলি খুব কমই 256 টি অক্ষরের চেয়ে বেশি ফিরে আসে। এই সমস্ত প্রতিক্রিয়াগুলি ইউডিপিতে চলবে। কারও কাছে কি যুক্তিসঙ্গত মামলা রয়েছে যা ডিএনএসএসইসি বা জোন ট্রান্সফার ছাড়াই 512 টি অক্ষরের কাছাকাছি চলে।
বিলথোর

ডিএনএসএসইসি, আমি প্রসারিত আকারের জন্য আরএফসি যাচাই করিনি, তবে ইউডিপিতে বর্ধিত প্যাকেট আকার ব্যবহারের জন্য আমি কেবলমাত্র রেফারেন্সই DSNSEC বেন করেছি।
বিলথোর

কয়েক বছর আগে যখন তারা তাদের ওয়েবফর্মগুলির জন্য এতগুলি এ রেকর্ড যুক্ত করেছিল যে এটি 512 বাইট ছাড়িয়ে গেছে তখন বড় কন্টেন্ট সরবরাহকারীদের মধ্যে একটি আনস্টাক করা হয়েছিল। এটি প্রকৃত আন্তঃআবন্ধক সমস্যা সৃষ্টি করেছিল।
Alnitak
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.