站長新書 站長開講 首頁 最新文章 站長著作及審校 FreeBSD 筆記 Linux 筆記 Windows 筆記 虛擬化筆記 網管人雜誌 遊山玩水 關於本站
站長新書 VMware vSphere ICM 團購開跑了!!

Study DNS-DNS 進階設定、安全、檢測

前言

本篇筆記為記錄有關於 DNS 進階設定、安全性設定、檢測 DNS 等相關資訊,以下整理的重點說明為引用 [TWNIC 網路安全教育訓練課程內容]

DNS 基礎

DNS 規範 [RFC 1034][RFC 1035],有關 DNS 也可參考站內文章 DNS 伺服器的原理與運作流程

DNS 伺服器說明

FQDNFully Qualified Domain Name: 指網際網路上伺服器名稱的完全表示方式,俗稱 Domain Name。

名稱伺服器類型: 可分為權威主機 (Authoritative) 或快取主機 (Cache-Only)

權威主機 (Authoritative)運作原理

  1. 當 DNS 用戶端 (DNS Client) 端詢問到權威主機 (DNS Server) 所管理的網域名稱時,此時會直接回應給 DNS 用戶端 (此一回應動作稱為 權威回答(Authoritative Answer))
  2. 當 DNS 用戶端 (DNS Client) 端詢問到 權威主機 (DNS Server) 所管理的網域名稱時,會檢查自身的 DNS Cache 看是不是有相關的資料,若 DNS Cache 有的話你會看到回應是 非權威回答(Non-Authoritative Answer)
  3. 若在 DNS Cache 內也沒發現資料,則會向 Root 伺服器查詢 (.) 然後 Root 伺服器會回應管理該域名的授權伺服器 (.tw.)
  4. 本地伺服器會向其中一台授權伺服器查詢,並將這些伺服器名單存到記憶體中,以備使用 (減少再向 Root 伺服器查詢)
  5. 遠方伺服器回應查詢
  6. 本地伺服器回應查詢結果給 DNS 用戶端 (DNS Client),同時會將結果儲存一份在自已的快取內以便使用 (減少再向遠方伺服器查詢)

Master / Slave: 主要與次要 DNS 伺服器

正 / 反向解析之意義與原理

DNS 設定檔說明 (named.conf)

此設定檔為 BIND 環境主要設定檔,大致分為五個部份作說明

Options: 定義 named 功能選項

Forwarders: 定義 Forwarders Server 位置,當此部 DNS 主機遇到非本機負責 Zone 之查詢請求的時候,不會直接去向 Root Server 查詢 Zone 而把請求轉交給指定的 Forwarders (一台或多台) 主機代為查詢 (另外一種 DNS 機制來減低網路流量) 例如指向國內最大 DNS Cache 主機 168.95.192.1、168.95.1.1

Zone ".": 定義 Root Server 位置

Zone "xxx.com.tw": 定義正解網域 (Forward Domain)

Zone "59.60.61.in-addr.arps": 定義反解網域 (Reverse Domain)

設定檔注意事項及常犯錯誤

Zone File 說明

設定完 named.conf 後會指定該 Zone 的 Zone File 而此內容為許多的 資源記錄(RR,Resource Record) 組合而成,內容大致為 SOA、NS、A、AAAA、PTR、CNAME、MX,一筆資源記錄包含五個值 (fqdn,ttl,class,type,rdata) 下列為舉例一筆 A RR。

 www.abc.com.tw   3600    IN        A       61.60.59.58
 (FQDN)           (TTL)  (Class)   (Type)    (Rdata)

SOAStart Of Authority: 用於本機主機代表為權威主機,並描述此 Zone 資料及提供 DNS Slave 資料

NSName Server: 用於 DNS 的搜尋與 A,Address 搭配使用

AAddress: 將 DNS 網域名稱對應到 IPv4 的 32 位元位址

AAAA,Name Server: 將 DNS 網域名稱對應到 IPv6 的 128 位元位址

PTRPointer: 定義某個 IP Address 對應的 Domain Name,即將 IP 位址轉換成主機的 FQDN (反向解析)

CNAMECanonical Name: 為同一部主機設定許多別名與 A Address 搭配使用

MXMail eXchanger: 設定區域中擔任郵件伺服器的主機,所有要送往那部機器的 Mail 都要經過 Mail Exchanger 轉送。而數字則是該主機郵件傳遞時的優先次序,此值越低表示有越高的郵件處理優先權

*可使用 A RR 來代替 MX 使用 (ex. @ IN A 61.60.59.58) 但如此僅能使用一部機器來當 Mail Server

TWNIC DNS 教育訓練文件

TWNIC 93 年度 DNS 安全研討會

TWNIC 94 年度 DNS 教育訓練課程

TWNIC 專欄文章

TWCERT/CC: 技術專欄/文件下載

DNS 設定檢測

DNS 安全

DNS系統記錄解讀

以下說明為引用 [TWNIC 網路安全教育訓練課程內容]

Q1.ns_forw: query(mail.vinwell.com.tw.vinwell.com.tw) All possible A RR's lame

 說明這個網域名稱可能有 Lame Server 狀況,也有可能是查詢人之 Resolver 之default-domain 之功能所引起的

Q2./etc/named.conf:53: syntax error near '}'

 語法錯誤,通常是少了 ; 號或忘了 {} 號,可使用 named-checkconf 檢查看看

Q3.unrelated additional info 'Manager.aluba.com.tw' type A from [203.149.224.202].53

 說明從 203.149.224.202 送來了和他無關的資料,通常發生的原因可能是該部 DNS 的一些域名設定有誤,但也有可能是 DNS 欺騙的一種狀況

Q4.bad referral (in-addr.arpa !<88.216.1.in-addr.arpa) from [168.95.192.14].53

 Bad Referral 狀況,可以從訊息中看到 168.95.192.14 (HINET)的反解設為”in-addr.arpa.”,可能原因是其 IP 太多,故如此偷懶,這樣的設定會造成此人往後的一段時間內($TTL) 查詢任何反解資料時都會到此 IP 查

Q5.ns_forw:query(BBS\.NNUT\.EDU\.TW\000.nhu.edu.tw) forwarding loop (dns.nhu.edu.tw:203.72.0.3) learnt (A=140.111.1.2:NS=140.111.1.2)

 查詢 bbs.nnut.edu.tw. 時發現有迴圈狀況,通常是 CNAME 所造成的,同時並記住管理nhu.edu.tw. 的上層主機為 140.111.1.2 (也就是這一次是使用這一部)

Q6.Response from unexpected source ([168.95.1.24].53) for query "_ldap._tcp.tmt.gtmt.com.tw IN SOA"

 查詢 _ldap 主機時,意外的從 168 的主機回應答案,其主要原因是 HINET 使用 Layer4 Switch,故回應的 IP 可能不固定所致,但亦有可能是 DNS Spoofing

Q7.Cleaned cache of 1083 Rrsets

 這是 named 清楚 Cache 的 log,表示有 1083 筆 TTL 時間到了

Q8.rcvd NOTIFY(tw, IN, SOA) from [140.111.1.2].45599

 從 140.111.1.2 將到一個轄區變更的通知 (notify)

Q9.Sent NOTIFY for "tw IN SOA 2001021959" (tw);4 NS, 4 A

 同上,但是送出,可見送出時所帶參數,2001  為序號

Q10.sysquery: findns error (SERVFAIL) on pc071.twnic.net.tw?

 這一部 DNS 發生錯誤造成 伺服器失敗,通常的原因是 SOA,NS 或是 Zone file 載入時有錯所造成

Q11.sysquery: query(mail.digi-age.com.tw) NS points to CNAME (lnx5.net-chinese.com.tw:) learnt (CNAME=168.95.192.3:NS=140.111.1.2)

 查詢 mail.digi 時,發現它的 NS RR 接的是一個 CNAME RR,這樣的 NS 是不被承認的

Q12.db_load could not open: /var/named/hosts:No such file or directory

 zone 的設定中指定的 file 位置找不到檔案

Q13.send AXFR query 0 to 168.95.192.9

 這部機器向 168.95.192.9 作一 AXFR 請求,這個請求送的序號為 0 (這是因為手動使用 named-xfer 所產生的訊息)

Q14.slave zone "tw" (IN) loaded (serial 2001021959)

 這部機器完成了”tw” 的 AXFR 請求,並將其載入

Q15.check_hints: no A records for E.ROOT-SERVERS.TW class 1 in hints

 找不到 Root Server 中 E.ROOT 之 Class,也就是 named.ca 中沒有設定 IN

Q16.stream_getlen([140.126.102.30].42873): Connection timed out

 和 140.126.102.30 的連線逾時

Q17.denied update from [140.112.15.188].3633 for "."

 拒絶來自 140.112.15.188 要求動態更新 . 的位置

Q18.xn--abc.tw has multiple CNAMES

 這個名稱 CNAME 多次到不同的名稱(系統預設是 no,若真的要用需 multiple-cname yes )

Q19.Zone "" (file named.ca): No default TTL ($TTL<value>) set, using SOA minimum instead

 named.ca 沒有定TTL 值,使用 SOA 中的 TTL 代替

Q20.a.dns.tw IN A differing ttls: correct

 a.dns.tw 的 TTL 值與上層設定不同,調整之,BIND9 才會有,以下層資料為準

Q21. /var/named/abel.hosts.utf8: WARNING SOA refresh value is less than 2 * retry (2 < 1209600 * 2)

 SOA 中的 refresh 的值小於 retry 值的二倍,建議您可達十倍左右

Q22.sysquery: findns error (NXDOMAIN) on ipopc-16.ipoware.ocm.tw?

 找不到 這個網域名稱 (NXDOMAIN)

Q23.Malformed response from [203.70.159.194].53 (out of data in final pass)

 DNS 回應的封包格式不對

Q24.deleting interface [211.72.211.71].53

 這個網路介面 shutdown 了(bind 預設每小時會檢查 interface 狀況)

Q25.There may be a name server already running on [211.72.211.1].53

 named 巳經在執行中了

Q26.invalid RR type 'NS' in additional section (name = 'auth.com') from [194.74.63.90].53

 194 的回答中,additional section 資訊中的 NS 資料不對,可能有設錯的狀況或 Spoofing

Q27.log_open_stream: open(/var/log/named/dns-statistics.log) failed: Permission denied

 開啟系統記錄檔時,權限不足,需注意 named run-time 時的 uid 和檔案(目錄)權限是否相符

Q28.cannot set resource limit on this system

 無法設定這台機器的系統設定,如最大檔案開啟數,最大行程數...主因通常是權限不足

Q29.db.movie:16: data "hp.com" outside zone "com.tw" (ignored)

 hp.com 這個名稱不屬於 com.tw 這個 zone 之下

Q30. zone “tw” (class 1) SOA serial# (1) rcvd from [211.72.210.250] is < ours (2001062901)

 轄區傳送 ”tw”時發現 211.72.210.250 的序號小於現在的序號, 這會造成不傳的狀況. 每次更改 zone file 時要記得同時至少為 serial 加上 1, 這是一個基本的原則

Q31.Err/TO getting serial# for "edu.tw" secondary zone "edu.tw" expired

slave 無法取得轄區資料,當到達 SOA 的 expire 值時則會產生第二行的訊息內容, 表示 edu.tw 轄區資料巳經過期, 當再遇到有人來查 twnic.edu.tw 時則會產生 SERVFAIL 的系統訊息.會造成這樣的訊息可能的原因可能為:

 1.master 與 slave 間的網路連線有問題
 2.slave 主機所指定的 master ip 有誤
 3.master 沒有開 allow-transfer 或其 zone file 中的語法有誤

Q32.can't change directory to /var/named: No such file or directory

 找不到 /var/named 這個目錄.這通常是因 options 中 directory 所指定的路徑不存在或打錯字

Q33.: master zone "movie.edu" (IN) rejected due to errors (serial 1997010600)

 Zone file 中語法或格式錯誤造成整個 Zone 不用 (BIND8 訊息, BIND9 仍可用,但可能出現 SERVFAIL 狀況)

Q34.socket(SOCK_RAW): Too many open files

 系統開啟的檔案數過多,造成 named 無法再開啟檔案或 socket

Q35.gethostby*.getanswer: asked for "37.103.74.204.in-addr.arpa IN PTR" , got type "CNAME" gethostby*.getanswer: asked for "37.103.74.204.in-addr.arpa", got "37.32/27.103.74.204.in-addr.arpa"

 找 204.74.103.37 的反解時,發現其指到一 CNAME,通常這種狀況較少見,是小於一個 Class C 中常用反解的指定方法,所以其要再問 37.32/27.103.74.204.in-addr.arpa 的結果

Q36.ns_udp checksums NOT turned on: exiting

 OS 中的 udp checksum 功能未打開,DNS 無法運作

Q37.can't fdopen tmpfile (sec_qip/db.135.156.HfeOrP)

 DNS 在做轄區傳送時會在 directory 所指令的目錄下產生一個 temp file,若此時權限不對,即會出現此類訊息

Q38.couldn't create pid file

 無法建立 PID file (process id),權限問題

Q39.setsockopt(REUSEADDR): Operation not supported on socket

 作業系統不支援 setsockopt 中某些參數(REUSEADDR)

Q40.CNAME and other data (invalid)

 一個巳是 CNAME rr 的記錄不能再用於其他記錄

Q41.$GENERATE unknown type: $i.3.2.1.dyn.tw

 GENERATE 的語法錯誤,type 不對或是忘了加了

Q42.host name "t_terrall.dev.oclc.org" (owner "51.240.174.132.in-addr.arpa") IN (primary) is invalid - proceeding anyway

 FQDN 名稱不合法,不能有底線([A-Za-z0-9,-])

Q43.no SOA found for fs.dedip.oclc.org, SOA query got rcode 3, aa 1, ancount 0, aucount 1

 雖是權威主機(aa=1)查無 SOA 記錄 (rcode 3 = NXDOMAIN, an=ANSWER , au=AUTHORITY

Q44.NOTIMP

 未實作 (Not Implemented )

Q45.NSTATS 942153823 941779425 A=86974 NS=2 CNAME=59 SOA=6 MG=5 PTR=17610 HINFO=141 MX=5631 TXT=6 AAAA=138 LOC=2 MAILB=5 ANY=2066

 BIND 8 特有,說明從何時至何時(UTC time) A 記錄查詢了 86974 次…

Q46.ns_resp: query(242.240.112.207.in-addr.arpa) A RR negative cache entry (NS0.NAP.NET:)

 因為負面答案快取,巳知其不存在

Q47.ns_resp: query(200.229.99.195.in-addr.arpa) Bogus LOOPBACK A RR (localhost.geosrv.com:127.0.0.1)

 查詢 NS 記錄時,指向了 127.0.0.1,這個 IP 是有問題的 (Bogus)

Q48.ns_resp: query(www.abc.com) Glue A RR missing (ns1.def.com:)

 www.abc.com 沒有對應的 A 記錄(外部的域名)

Q49.ns_resp: query(155.128/26.218.32.216.in-addr.arpa) No possible A RRs

 沒有對應的 A 記錄(自己的域名)

Q50.ns_resp: TCP truncated: "167.133.200.192.in-addr.arpa" IN PTR from [192.200.128.254].53

 DNS 回應封包太大,改用 tcp 方式查詢 (超過 512 要 truncate 或使用 edns)

Q51."rr.com IN MX" points to a CNAME (mail.rr.com)

 MX/CNAME 不能混用

Q52.sysquery: query(ring.kotel.co.kr) NS points to CNAME (daiduk.kaist.ac.kr:)

 NS/CNAME 不能混用

Q53.[[206.153.116.21].13172] transfer refused from [206.153.116.8], zone psk.net

 拒絕  206.153.116.8 對 .21 要求 zone transfer (psk.net) 的請求 (allow-transfer 沒有它)

Q54.unapproved AXFR from [132.174.19.16].36285 for "riptor.com"

 同上意,不同的版本字面稍有不同,’unapproved’ 有的版本會改稱 ‘deny’, 而 AXFR 因情況不同,可能是查詢(query),遞迴(recursive),或更新(update)等

酷!學園討論區 - DNS 二十問

以下問題及解答整理自

Q1. 上層 DNS 中 .tw 及 .com.tw 的 DNS 查詢量那一個較多 ? 為什麼 ?

Ans:

com.tw 較多,因為 .tw 的 DNS 只有六部,很容易就被 Cache 且其下的 .tw 其下的 record 僅有 net/org/gov/...tw,所有資料亦不過十幾筆但 com.tw. 下的資料會有數萬筆以上,所以當有人查詢 x1.com.tw. 時沒有 cache 就會問到 .tw 及 com.tw.,再查 x2.com.tw. 時因為巳有 cache 短期內就不會再去問 .tw 了,而是問 .com.tw x2.com.tw. 在那裏所以 com.tw. 的量會較多,且多好幾倍 !

Q2. 依據 ISC 及 CERT/CC 組織的說明,建議使用 BIND 運行 DNS 的人,為了安全的理由,最好都換到 BIND 9.X 版,為什麼像 HINET/SEEDNET 這些 ISP 都不願意換呢 ?

Ans:

因為 BIND 9.x 對 DNS 資料的檢查較 BIND 8.x嚴謹,一般 ISP 的 DNS 都用於 Client 端指定,有很多設定錯誤的 Zone File 可能會查不到,但用 BIND 8.x 就可以查得到, 國內曾有 ISP 單位換到 BIND 9.x,但是 User 反應有些網域名稱查不到,換回來 BIND 8.x 後就可以查得到了。

[[TWNIC_95年度網路安全教育訓練課程內容?]] 內也提到 BIND 8 / BIND 9 的差異性

Q3. BIND 8.x 與 BIND 9.x 何者查詢效能較好 ? 為什麼 ?

Ans:

答案是 BIND 8.x why ? 因為 BIND 8.x 在處理資料時是以 Hash Table 來儲存的 而 BIND 9.x 是用二元樹 (binary tree 正確一點的說法是紅黑二元樹 red-black binary tree 較能達到 Balance)實作出來的 BIND 8.x 及 9.x 在處理查詢效率上差了近一倍,如果 BIND 8.x 是 10000 次/每秒則 BIND 9.x 大概只能到 5000 次/每秒,為什麼 BIND 9.x 反而退步了?因為 BIND 9 要和資料庫結合及驗證 DNS tree 的結構性(所以較嚴謹) DB 本來就是 Tree 結構不是嗎

Q4. 當我們網路分 "內網 (192.168/24)" 與 "外網" 時,在過去的時代,都說要內外都要建一個 DNS , 讓內對內,外對外,以保護一些資訊,但是多一部機器或多一個 Server 都是成本,這種狀況在 BIND 9.X 是可以解決的,如何實現 ?

Ans:

用「View」 [網中人 - Bind9 View 底下的 master/slave 設定方案]

Q5. 有人在 TWNIC 指定了其 xxx.com.tw 的資料如下:

 ns1.xxx.com.tw 1.2.3.4
 ns2.xxx.com.tw 1.2.3.5
 而在其自身 DNS 的 xxx.com.tw 的 zone file 中的 NS RR 如下
 ns1.xxx.com.tw 11.22.33.44
 ns2.xxx.com.tw 11.22.33.55

Q5.1試問當 dns.seed.net.tw 去查詢時其 named 會產生什麼 log (一般的 log level) 及 cache 什麼資料 ?

Ans:

seednet 用的是 BIND 8.x (其實嚴格說起來,它用的那個版本是有問題的)BIND 8 在 Cache 資料時,是第一個碰到記錄為主所以會 Cache 到 1.2.3.4 1.2.3.5 的結果

Q5.2 而又當 ns.nctu.edu.tw 去查詢時,其 log 及 cache 情形又為何 ?

NCTU 用的是 BIND 9.x 其 Cache 資料預設是以權威主機為主所以是另外一個狀況 (11.22.33.44 ..)

[[TWNIC_95年度網路安全教育訓練課程內容?]] 內也提到 BIND 8 / BIND 9 的差異性

Ans:

Q6. 有一個網域名稱叫 tw.com.tw , 為什麼他的查詢是高達每小時數萬次 ? 管理人員覺得很困擾,用 FireWall 將 DNS query 給擋下來又會發生什麼事 ?

Ans:

請從 default domain/search , reslover 去想...block port 53, 除非他的頻寬超過 T1,不然一定塞 ( timeout/retry 去想) 這是一個 real case

Q7. DNS 欺騙有那幾種狀況 ? 如何預防 ?

Ans:

Q8. 以下這兩行訊息,如何在實作上表現 ? 意義為何 ?

 Sep 24 10:40:11 pc071 syslog: gethostby*.getanswer: asked for "37.103.74.204. in-addr.arpa IN PTR" , got type "CNAME"
 Sep 24 10:40:11 pc071 syslog: gethostby*.getanswer: asked for "37.103.74.204.in-addr.arpa", got "37.32/27.103.74.204.in-addr.arpa"

Ans:

這是不滿一個 Class C IP 的反解授權查詢結果

Q9. 這一行 log 有那些可能性存在 ?

 Jun 11 11:36:07 pc071 named[6103]: Response from unexpected source ([168.95.1.24].53) for query "_ldap._tcp.tmt.gtmt.com.tw IN SOA"

Ans:

查詢 "_ldap._tcp.tmt.gtmt.com.tw" 的 SOA 時,意外的從 168.95.1.24 來了回應,也就是原來這部 Local DNS 去問的不是 168.95.1.24 而是另有其人但結果卻從 168.95.1.24 回來了

這個地方可以查得到 named 所有的 log 訊息的意義哦[Log messages for BIND 8 named, named-xfer, ndc and some for BIND 9 | Men & Mice - DNS, DHCP and IP Address Management Solutions]

Q10. Windows DNS 可以在 GUI 的介面上顯示 Cache 資料, 那在 BIND 要如何知道現在的 DNS Cache 了那些資料 (BIND 8.x 與 9.x 方法各為何 )?

Ans:

bind 8 的 cache dump 指令

 kill -ILL named_pid
 還是
 kill -IRR named_pid

BIND 9 是用 rndc

Q11. DNS 分正解與反解查詢, 請問網路上的 DNS Query 是正解還是反解查詢多 ? 為什麼 ?

Ans:

反解,因為太多服務都會將 IP 再做反查,如 Mail / Syslog / Web / Proxy 等,所以據一般的統計,正查:反查 = 4:6 的比例只是反查在多數的系統上皆可有可無,所以一般人較感覺不到

Q12. 何謂負面答案(nagitive answer) ? 對 DNS 的運作有什麼作用 ? 下列狀況:

 xxx.com.tw 在TWNIC的指定內容:
 ns1.xxx.com.tw 1.2.3.4
 ns2.xxx.com.tw 1.2.3.5
 ns3.xxx.com.tw 1.2.3.6
 xxx.com.tw 自身的 DNS Zone File 內容:
 $ORIGIN xxx.com.tw.
 IN SOA ns1 abelyang.mail ( 2001 86400 3600 864000 10800)
 IN NS ns1
 IN NS ns2
 IN NS ns3
 ns1 IN A 1.2.3.4
 ns2 IN A 1.2.3.7
 ns3 IN CNAME dns.hinet.net.
 www IN A 1.2.3.6 

請問:以 BIND 9 (現在大多數人用)來的預設值來查:

Q12-1. NS RR 的 lame server 會 Cache 多久 ?

Q12-2. 查不到 ftp.xxx.com.tw. 會 Cache 多久 ?

Q12-3. 假設這個網域名稱不存在, 會 Cache 多久 ?

Q12-4. CNAME and other datas 會 Cache 多久 ?

Q12-5. CNAME Chain (A Cname B, B Cname C,C cname D..) 的狀況 Cache 多久 ?或以什麼為參考 ?

Q12-6. 若 .com.tw. DNS 掛了會 Cache 多久 ?

Ans:

這個答案請參考 RFC 2308, 裏面寫得很詳細哦, 重點只有兩部份:

 NXDOMAIN(找不到網域名稱) BIND 預設是 ncache:3h
 NXRRSET (找不到記錄) SOA 中的第五個數字 

Q13. DNS 時的 Port 變化 (BIND 8 與 Bind 9 是不同的哦) ?

Ans:

Ans:

Q14. 若單位有十個網域名稱 (Ex: x1.com.tw,x2.com.tw.....x10.xom.tw), 其意欲每個網域名稱內的相同之 Host 皆指向同一 IP ex: www.x1.com.tw. 1.2.3.4 www.x2.com.tw. 1.2.3.4 ~ www.x10.com.tw. 1.2.3.4 而當 x10.com.tw. 欲加一部 netman.x10.com.tw. 時,其他九個網域名稱皆可同時加上,請問該如何設定 ? (十個網域名稱可能在同一部,也有可能是不同部主機哦)

Ans:

新功能 ...,如果 Zone 不同,但 Zone file 相同,基本上是會 error 的

Q15. 有一單位 (xxx.com.tw. )遭受來自網路上的 DNS Query 的 DDOS 攻,造成其 T1 的頻寬完全塞滿,其每秒查詢萬次以上,幾乎全世界的 DNS Server 皆向其詢問, xxx.com.tw. AAAA 的內容,但該網域名稱並無 AAAA 之 Record, 請問如何解決 ?

Ans:

將 AAAA 設為 127.0.0.1(ipv6 用哪個啊?) ,再將 TTL 拉大不知可行否? IPv6 的 localhost 是 ::1

Q16. 某人在 TWNIC 指定其 xxx.com.tw. 之 DNS Server 如:mail.xxx.com.tw. 1.2.3.4、xxx.com.tw. 1.2.3.4 而其本身並沒有在這兩個 IP 上架設 DNS Server (有 MailServer), 請問別人以 user@xxx.com.tw 寄信給他們時, 收得到嗎 ? 為什麼 ?

Ans:

要看 bind 版本哦, 如果 bind 8 就收得到, bind 9 就收不到,因為 A RR 不是 從 Authority 來的,而是 Addtional

[[TWNIC_95年度網路安全教育訓練課程內容?]]內也提到 BIND 8 / BIND 9 的差異性

Q17. 以下為 2.6.8.8.8.e164.arpa. 網域名稱的內容:請問其意義 ? 及其解析流程為何 ?

 $ORIGIN 3.1.3.1.1.4.3.2.2.6.8.8.e164.arpa.
 IN NAPTR 10 10 "u" "SIP+E2U" "!^.*$!sip:abelyang@xxx.com.tw!" .
 IN NAPTR 20 10 "u" "SMTP+E2U" "!^.*$!mailto:abelyang@xxx.com.tw!" .
 IN NAPTR 30 10 "u" "TEL+E2U" "!^.*$!tel:+886223413300!" .
 $ORIGIN 0.0.3.3.1.4.3.2.2.6.8.8.e164.arpa.
 IN NAPTR 10 10 "u" "LDAP+E2U" "!^.*$!ldap://ldap.xxx.com.tw?cn=3300!" .
 IN NAPTR 20 10 "u" "TEL+E2U" "!^.*$!tel: +886223411313!" .

Ans:

DNS 的新功能,和 VoIP 有關哦, 能解決 Phone to PC 不能對應的問題目前在 ICANN 及 ITU 都非常重視主要用於解決VoIP 在 Phone to PC 不能對應之問題...不過一言難盡 Enum 的東西對這個大家可能較陌生,可以參考 [SIP/ENUM Forum Taiwan]這裏國內也有很多廠商及電話公司在研究其可行性,上述幾欄的意義可參考 duan 提供的網址或[ENUM: history and current status and future][EnumF.org]等我覺得這個領域是研究 VoIP 或 PSTN 的人不可錯之處,其中 SIP 也是另外一個重點

Q18. 何謂 DNS 的 Referral ? Bad Referral ? Bard Referral 是否會回應答案 ?

Ans:

Referral: DNS Query 時,因為不知道達案而要 Search DNS Tree, 此時像 .com.tw 給出 xxx.com.tw 的 NS 在 ns1 及 ns2 , 這種行為稱為 referral,bad referral 就是 com.tw. 給出 xxx.com.tw 為 ns1 ns2但 ns1 ns2 上的有 xxx.com.tw. 的資料,但 Zone 卻不是 xxx.com.tw 此時到底會不會處理查詢呢 ? BIND 8 BIND 9 是不同的處理哦.... 我想有看過這一系統討論的人大概就知道達案了吧

Q19. 據聞, .com 的 網域名稱高達 3000 萬筆,而其 .com 的 Roor Server 又多達 13 部,若您是 .com 的 DNS 網管理人員, 您會如何如做來讓 13 的 .com DNS Server 的同步化?

Ans:

使用 FTP,Verisign 將 Zone file 壓縮後再用 FTP 去傳輸

Q20. 實例中, yahoo.com. 的 MX 查詢結果,請問下列結果如何以 DNS 及 Mail Server 來實現 ?

 dig mx yahoo.com
 ; <<>> DiG 9.2.0 <<>> mx yahoo.com
 ;; global options: printcmd
 ;; Got answer:
 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2338
 ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 5, ADDITIONAL: 11
 ;; QUESTION SECTION:
 ;yahoo.com. IN MX
 ;; ANSWER SECTION:
 yahoo.com. 3715 IN MX 5 mx4.mail.yahoo.com.
 yahoo.com. 3715 IN MX 1 mx1.mail.yahoo.com.
 yahoo.com. 3715 IN MX 1 mx2.mail.yahoo.com. 
 ;; AUTHORITY SECTION:
 yahoo.com. 172637 IN NS ns2.yahoo.com.
 yahoo.com. 172637 IN NS ns3.yahoo.com.
 yahoo.com. 172637 IN NS ns4.yahoo.com.
 yahoo.com. 172637 IN NS ns5.yahoo.com.
 yahoo.com. 172637 IN NS ns1.yahoo.com. 
 ;; ADDITIONAL SECTION:
 mx1.mail.yahoo.com. 1223 IN A 64.156.215.5
 mx1.mail.yahoo.com. 1223 IN A 64.156.215.6
 mx1.mail.yahoo.com. 1223 IN A 64.157.4.78
 mx2.mail.yahoo.com. 1626 IN A 64.157.4.78
 mx2.mail.yahoo.com. 1626 IN A 64.157.4.82
 mx2.mail.yahoo.com. 1626 IN A 64.156.215.5
 mx4.mail.yahoo.com. 1627 IN A 216.136.129.17
 mx4.mail.yahoo.com. 1627 IN A 66.218.86.253
 mx4.mail.yahoo.com. 1627 IN A 66.218.86.254
 mx4.mail.yahoo.com. 1627 IN A 216.136.129.5
 ns1.yahoo.com. 151719 IN A 66.218.71.63

Ans:

未解答,不過這題我也不知道正確的答案,可能需要多加探討把 !!這裏面涉及了 MX 的優先權及 Round Robin, 以及 Mail Server 端的資料處理...

Go To Oddmuse OrgGo To FreeBSD OrgCreative Commons 2.5 Taiwansitestates.com