क्या यह सच है कि एक नामवर को टीसीपी पर प्रश्नों का उत्तर देना होगा?

मैं कई बड़े वेब होस्टों के DNS सर्वरों की निगरानी स्थापित करने की प्रक्रिया कर रहा हूँ। मेरा लक्ष्य पिंग के प्रति उनकी प्रतिक्रिया को ट्रैक करके उनके डीएनएस सर्वर प्रतिक्रिया समय की तुलना करना है।

इस प्रक्रिया में, मुझे पता चला कि ब्लूहोस्ट नेमसर्वर्स पिंग का जवाब नहीं देते हैं। मैंने Bluehost.com पर PWOOD DNS Check चलाकर अधिक जानकारी प्राप्त करने का प्रयास किया और इसने निम्नलिखित त्रुटि उत्पन्न की:

नाम सर्वर ns1.bluehost.com (74.220.195.31) टीसीपी पर प्रश्नों का उत्तर नहीं देता है।

नाम सर्वर टीसीपी पर भेजे गए प्रश्नों का उत्तर देने में विफल रहा। यह संभवत: नाम सर्वर के ठीक से सेट न होने के कारण या किसी फ़ायरवॉल में गलत फ़िल्टरिंग के कारण होता है। यह एक सामान्य गलत धारणा है कि जब तक वे ज़ोन स्थानांतरण प्रदान नहीं करते हैं, तब तक DNS को टीसीपी की आवश्यकता नहीं होती है - शायद नाम सर्वर व्यवस्थापक को यह पता नहीं है कि टीसीपी आमतौर पर एक आवश्यकता है।

मैं निम्नलिखित जानना चाहूंगा:

• उपरोक्त कथन किस हद तक सही है?
• टीसीपी पर प्रश्नों का उत्तर नहीं देने वाले एक नेमवेसर के निहितार्थ क्या हैं?

Phatt से डायग्नोस्टिक टेक्स्ट बिल्कुल सही है। टीसीपी सिर्फ जोन ट्रांसफर के लिए नहीं है ।

DNS सर्वर कार्यान्वयन कर रहे हैं अब टीसीपी, प्रति समर्थन करने के लिए "आवश्यक" (इतना किसी RFC कुछ भी आवश्यकता है, क्योंकि में) आरएफसी 5966 "- कार्यान्वयन आवश्यकताओं के टीसीपी से अधिक DNS परिवहन"।

ध्यान दें कि यह सर्वर सॉफ़्टवेयर कार्यान्वयन पर एक आवश्यकता है, यह किसी भी सर्वर के संचालन पर सख्ती से लागू नहीं होता है - परिचालन अभ्यास को कवर नहीं किया जाता है।

कहा कि, यदि आपके विशेष DNS सर्वर टीसीपी का समर्थन करने के लिए कॉन्फ़िगर नहीं किए गए हैं, या यदि यह अवरुद्ध है, तो लंबी अवधि का प्रभाव सही ढंग से DNSSEC का समर्थन करने में असमर्थता होगी। इसी तरह कोई भी अन्य DNS डेटा जिसके कारण 512 बाइट्स से अधिक प्रतिक्रियाएं अवरुद्ध हो सकती हैं।

अस्वीकरण: मैंने लिखा है कि RFC।

EDIT RFC 5966 को अब RFC 7766 से बदल दिया गया है

इसे टीसीपी और यूडीपी का समर्थन करना चाहिए - टीसीपी प्रतिक्रियाओं के आकार के लिए है> 512 बाइट्स (जिसमें ज़ोन ट्रांसफर शामिल होगा) (सामान के अनुसार मैंने पढ़ा है, वैसे भी। मैं आमतौर पर एनएसपी के लिए टीसीपी और यूडीपी को सक्षम करता हूं ...)

यह जानना अच्छा है कि आरएफसी इस विषय पर क्या कहते हैं, और हमारे पास पहले से ही इस पर एक अच्छा आधिकारिक उत्तर है, लेकिन व्यावहारिक उद्देश्यों के लिए, मैं डीजेबीडीएनएस के लेखक प्रो डैनियल जे। बर्नस्टीन, पीएचडी से सलाह लेता हूं, जो काफी मनोरंजक है।

http://cr.yp.to/djbdns/tcp.html#why (2003-01-16)

टीसीपी प्रश्न कब भेजे जाते हैं?

यदि आप निम्न स्थितियों में से एक हैं, तो आपको टीसीपी प्रश्नों का उत्तर देने के लिए अपने DNS सर्वर को कॉन्फ़िगर करने की आवश्यकता है:

• आप 512 बाइट्स से बड़े रिकॉर्ड सेट प्रकाशित करना चाहते हैं। (यह लगभग हमेशा एक गलती है।)
• आप आउटगोइंग ज़ोन स्थानांतरण की अनुमति देना चाहते हैं, उदाहरण के लिए एक तृतीय-पक्ष सर्वर।
• जब तक आप TCP सेवा सेट नहीं करते, तब तक एक पैरेंट सर्वर आपको एक नाम सौंपने से मना कर देता है।

यदि आप उन स्थितियों में से किसी में नहीं हैं, तो आपको टीसीपी सेवा प्रदान करने की कोई आवश्यकता नहीं है, और आपको इसे सेट नहीं करना चाहिए। DNS-over-TCP, DNS-over-UDP की तुलना में बहुत धीमी है और स्वाभाविक रूप से इनकार करने वाली सेवा के हमलों के लिए अधिक कमजोर है। (यह BIND पर भी लागू होता है।)

ध्यान दें कि वह DNSSEC का स्पष्ट उल्लेख छोड़ देता है; कारण यह है कि, डीजेबी के अनुसार, DNSSEC "हमेशा एक गलती" श्रेणी में आता है। अधिक जानकारी के लिए https://cr.yp.to/djbdns/forgery.html देखें । डीजेबी का एक वैकल्पिक मानक है, जिसे DNSCurve कहा जाता है - http://dnscurve.org/ - जो पहले से ही कुछ प्रदाताओं (जैसे OpenDNS) द्वारा स्वतंत्र रूप से अपनाया गया है। ब्याज की: /security/45770/if-dnssec-is-so-questionable-why-is-it-ahead-of-dnscurve-in-adoption ।

ध्यान दें कि यदि DJBDNS सेटअप पर उपरोक्त प्रलेखन इसकी विशेषताओं का कोई संकेत है, तो ऐसा प्रतीत होता है कि यह केवल TCP के लिए AXFR का समर्थन करता है। चूंकि कई प्रदाता अभी भी डीजेबीडीएनएस का उपयोग करते हैं, इसलिए वे अतिरिक्त प्रयासों के बिना टीसीपी पर डीएनएस का समर्थन करने की संभावना नहीं रखते हैं।

पीएस ध्यान दें कि डीजेबी वास्तव में, जो वह प्रचार करता है उसका अभ्यास करता है। उसके अपने सर्वर, (1), DNSCurve चलाते हैं, (2), ठीक से टीसीपी का जवाब नहीं देते हैं। केवल वही +notcpसफल होगा (जो डिफ़ॉल्ट है):

% dig +trace @ordns.he.net +notcp cr.yp.to | tail
yp.to.                  86400   IN      NS      uz5dz39x8xk8wyq3dzn7vpt670qmvzx0zd9zg4ldwldkv6kx9ft090.ns.yp.to.
yp.to.                  86400   IN      NS      uz5jmyqz3gz2bhnuzg0rr0cml9u8pntyhn2jhtqn04yt3sm5h235c1.yp.to.
;; Received 300 bytes from 216.74.32.100#53(tonic.to) in 151 ms

cr.yp.to.               600     IN      A       131.155.70.11
cr.yp.to.               600     IN      A       131.155.70.13
yp.to.                  3600    IN      NS      uz5jmyqz3gz2bhnuzg0rr0cml9u8pntyhn2jhtqn04yt3sm5h235c1.yp.to.
yp.to.                  3600    IN      NS      uz5dz39x8xk8wyq3dzn7vpt670qmvzx0zd9zg4ldwldkv6kx9ft090.yp.to.
;; Received 244 bytes from 131.155.70.13#53(uz5jmyqz3gz2bhnuzg0rr0cml9u8pntyhn2jhtqn04yt3sm5h235c1.yp.to) in 14 ms

, जबकि +tcpविफल हो जाएगा (जाहिर है एक अलग त्रुटि संदेश के साथ, जो उसके सर्वरों के चयन पर निर्भर करता है):

% dig +trace @ordns.he.net +tcp cr.yp.to | tail
yp.to.                  86400   IN      NS      uz5hjgptn63q5qlch6xlrw63tf6vhvvu6mjwn0s31buw1lhmlk14kd.ns.yp.to.
;; Received 300 bytes from 216.74.32.100#53(tonic.to) in 150 ms

;; Connection to 131.155.71.143#53(uz5dz39x8xk8wyq3dzn7vpt670qmvzx0zd9zg4ldwldkv6kx9ft090.ns.yp.to) for cr.yp.to failed: connection refused.
;; communications error to 131.155.70.13#53: end of file
;; Connection to 131.155.71.143#53(uz5dz39x8xk8wyq3dzn7vpt670qmvzx0zd9zg4ldwldkv6kx9ft090.ns.yp.to) for cr.yp.to failed: connection refused.
;; communications error to 131.155.70.13#53: end of file
;; Connection to 131.155.71.143#53(uz5dz39x8xk8wyq3dzn7vpt670qmvzx0zd9zg4ldwldkv6kx9ft090.ns.yp.to) for cr.yp.to failed: connection refused.
;; communications error to 131.193.32.147#53: end of file
;; connection timed out; no servers could be reached

टीसीपी केवल आवश्यक है, और आमतौर पर केवल तब उपयोग किया जाता है जब एक लंबी प्रतिक्रिया की आवश्यकता होती है। नकारात्मक प्रभाव हो सकते हैं। ज़ोन स्थानान्तरण टीसीपी पर किया जाता है क्योंकि वे बड़े हैं, और विश्वसनीय होने की आवश्यकता है। अविश्वसनीय सर्वरों से टीसीपी की अनुमति नहीं देना यह सुनिश्चित करने का एक तरीका है कि केवल छोटे उत्तर दिए जाएं।

हस्ताक्षरित डीएनएस उत्तरों की शुरुआत के साथ, यूपीडी उत्तरों के लिए 512 बाइट सीमा को ढीला करने की आवश्यकता होती है। EDNS0 अब UDP प्रतिक्रियाओं के लिए तंत्र प्रदान करता है। टीसीपी पर डीएनएस की अनुमति देने में विफलता एक सुरक्षित डीएनएस कार्यान्वयन को तोड़ने की अत्यधिक संभावना है।

DNS सर्वर चलाना पूरी तरह से संभव है जिसमें केवल UDP पोर्ट 53 इंटरनेट पर खुला है। DNS सहकर्मियों के लिए टीसीपी एक्सेस की आवश्यकता है, लेकिन यह मेजबानों की एक छोटी सूची है।

एक नया RFC596 है जिसे अब पूर्ण DNS कार्यान्वयन के लिए टीसीपी की आवश्यकता है। यह कार्यान्वयनकर्ताओं के उद्देश्य से है। दस्तावेज़ विशेष रूप से ऑपरेटरों को संबोधित नहीं करते हैं, लेकिन चेतावनी देते हैं कि टीसीपी की अनुमति नहीं देने से कई विफलता परिदृश्य हो सकते हैं। यह विभिन्न प्रकार की विफलताओं का विवरण देता है जो परिणाम दे सकता है यदि DNS ओवरसीपी समर्थित नहीं है।

डीएनएस प्रवर्धन हमलों को रोकने के लिए टीसीपी का उपयोग करने की चर्चा हुई है। टीसीपी के पास सेवा जोखिमों का अपना खंडन है, लेकिन वितरण अधिक कठिन है।