¿Por qué enviar un servidor de nombres autorizado en DNS?

Por curiosidad, estoy revisando los paquetes DNS de Wireshark. Puedo ver que hay una consulta DNS del host y luego una respuesta DNS del servidor DNS. Todo es como se esperaba.

Sin embargo, si revisa más la consulta, puede ver que el servidor también envía el NS (servidor de nombres autorizado). Mi pregunta es: ¿por qué?

Como anfitrión, solo me importa la IP. Ese es el punto principal de DNS , para resolver un nombre en una dirección IP .

¿Por qué, como anfitrión, necesitaría la información de NS?

domain-name-system dns-zone wireshark dns-hosting dns-server AhmedWas
fuente

@downvoter, por favor comente. Y si crees que mi pregunta es tan fácil, al menos contéstala y luego baja tu voto.

Ahmed fue el

Por filosofía de diseño y votos son anónimos y no votando hasta ni votando abajo requiere ninguna explicación obligatoria . La información sobre herramientas que aparece cuando el puntero del mouse se desplaza sobre el botón hacia abajo dice: "esta pregunta no muestra ningún esfuerzo de investigación; no está claro o no es útil" . Además, las preguntas pueden atraer un voto negativo cuando no están bien escritas , no están completamente sobre el tema o faltan detalles.

HBruijn

Respuestas:

Tradicionalmente nombrar servidores no envían una breve respuesta a una consulta, pero un RFC 1034 - 1035 respuesta completa compatible que incluye la autoridad sección que contiene registros de recursos que apuntan hacia el servidor de nombres autorizado (s).

El motivo probablemente se deba a que, con la naturaleza distribuida y delegada del DNS, en el momento parecía una buena idea incluir la "fuente de verdad" en las respuestas.

Editar: Por cierto: el envío de la sección de autoridad es compatible con RFC pero no es obligatorio para todas las respuestas de consulta.

En BIND, este comportamiento se puede ajustar con la minimal-responses yes | no;directiva, donde está el valor predeterminado noy las secciones Autoridad y Adicional de la respuesta a la consulta siempre estarán completamente pobladas.
Otros servidores de nombres CloudFlare, AWS Route 53, Infoblocks y probablemente otros ya enviarán respuestas mínimas de manera predeterminada. Los solucionadores públicos de Google devolverán una sección de Autoridad cuando esté disponible, Cloudflare.

Creo que el origen de esa tradición de incluir tanto la sección de autoridad como la respuesta de consulta real encuentra su raíz en el (pseudo) código del RFC882, ahora obsoleto, página 15-16

If the name server is not authoritative, the code copies 
the RRs for a closer name server into the response.  

The last section of the code copies all relevant RRs into the response.

HBruijn
fuente

Gracias por la edición y la información adicional. Desearía poder darte más de un voto UP :)

Ahmed fue el

Esto realmente no responde la pregunta. Ya sabemos que se recibe una respuesta completa. La pregunta era, ¿cuál es el beneficio de esto? ¿Por qué el estándar está diseñado de esta manera? ¿Cuál es el valor de la información "adicional" en esta forma de respuesta?

Carreras ligeras en órbita el

@LightnessRacesinOrbit para mí, la respuesta es evidente: el servidor DNS no solo me dice que example.com es abcd; Me está diciendo quién lo dijo. Esto es epistemológicamente sólido, porque no puedo decir con precisión que sé que algo es un hecho cuando en realidad solo sé que un tercero afirmó que es un hecho. Me resulta más difícil solucionar los problemas cuando las personas presentan rumores como si fuera observación, o sus conclusiones como evidencia primaria, etc. La diferencia entre afirmar que X es verdad y decirme que Y dijo que es verdad es enorme.

Monty Harder

@MontyHarder Sí, eso tiene sentido, pero lo que digo es que debería estar en la respuesta.

Carreras de ligereza en órbita

Los RFC de @LightnessRacesinOrbit no siempre incluyen las motivaciones de diseño. Para aclarar "parecía una buena idea en ese momento", creo que es una razón de por qué es tradicional incluir la sección de autoridad además de la respuesta de consulta real, aunque los RFC actuales no exigen que encuentre su origen en el (pseudo ) código del ahora obsoleto RFC882 página 15-16 "... Si el servidor de nombres no tiene autoridad, el código copia los RR para un servidor de nombres más cercano en la respuesta. La última sección del código copia todos los RR relevantes en la respuesta ... "

HBruijn

El servidor no sabe si la solicitud proviene de un cliente final o si es una solicitud recursiva de otro servidor de nombres. Si se trata de otro servidor de nombres, puede almacenar en caché la Sección de autoridad y consultar esos servidores de nombres directamente en el futuro.

Creo que esa fue la justificación original en el protocolo, pero tiene implicaciones de seguridad. Una respuesta puede incluir una Sección de Autoridad que enumera servidores de nombres falsos, y esto se ha utilizado en ataques de envenenamiento de caché. Por lo tanto, los servidores de nombres generalmente no almacenarán en caché los registros NS a menos que sean registros de delegación para un subdominio del dominio que está consultando.

Barmar
fuente

El servidor realmente puede notar la diferencia entre tales solicitudes. Hay un poco en las banderas para pedir recurrencia.

kasperd el

Los servidores pueden enviar consultas recursivas, por ejemplo, cuando forwardersse utiliza la función.

Barmar

Pero si lo hace, no le importarán los servidores autorizados de todos modos.

kasperd el