क्या होता है जब आपका टीटीएल आपके DNS रिकॉर्ड में खराब हो जाता है?

13

जब कोई आपके DNS नियंत्रण तक पहुँच प्राप्त करता है और आपके डोमेन पर 100 साल का TTL सेट करता है, तो यह किसी अस्पष्ट वेबसाइट को IP इंगित करते हुए क्या होता है?

(और आप इसे बहुत देर से खोजते हैं)

domain-name-system  ttl 
डर्क बोअर
स्रोत
10
प्रभारी व्यक्ति निकाल दिया जाता है।
जेवियर लुकास
5
बस एक छोटा नोट: अधिकतम टीटीएल मूल्य 2 ^ 31-1 है, जो कि 68 साल से थोड़ा अधिक है :) आरएफसी 2181 देखें ।
स्वेन

जवाबों:

21

रयान ने आपके प्रश्न की एक व्याख्या का उत्कृष्ट उत्तर प्रदान किया है। हालांकि, हमारे लक्षित दर्शकों को देखते हुए, और लोगों की स्थिति पर सवाल उठने की सबसे अधिक संभावना है, मैं एक अलग जवाब देने जा रहा हूं।

जब कोई बुरा TTL जंगल में बनाता है तो एक कंपनी क्या करती है?

आपके पास यहां कुछ विकल्प हैं। हालांकि सबसे पहले और सबसे महत्वपूर्ण, आपको समस्या वेक्टर की पहचान करने और इसे खत्म करने की आवश्यकता है। क्षति को रोकने की कोशिश तब व्यर्थ है जब आपके पास खुद को दोहराने वाली समस्या पर कोई नियंत्रण नहीं है।

  1. रुको। यदि यह एक महत्वपूर्ण रिकॉर्ड नहीं है, तो आप शायद इसे प्रतीक्षा कर सकते हैं। जैसा कि रयान ने कवर किया है, "अधिकतम क्षति" 68 साल नहीं है, लेकिन व्यवहार में 7 दिन होने की संभावना है। यह सकारात्मक कैश प्रविष्टि (BIND, JunOS, आदि) के अधिकतम जीवन के लिए सबसे आम डिफ़ॉल्ट है। यहां तक ​​कि उन मामलों में जहां यह सटीक नहीं है, एक को उम्मीद होगी कि सर्वर को नियमित सुरक्षा अपडेट मिल रहा है जो एक प्रक्रिया को पुनरारंभ करने के लिए मजबूर करता है। कई बड़े समूहों के संचालक के रूप में बोलते हुए, मुझे यह संभावना नहीं लगती है कि एमएसओ इस उद्देश्य के लिए एक बड़ा मूल्य निर्धारित करेगा: यह केवल अधिक बाहरी पूछताछ (जिसे हम घृणा करते हैं) उत्पन्न करने के लिए कार्य करता है। आपको कम लोकप्रिय सॉफ़्टवेयर, या खुद से नफरत करने वाले ऑपरेटरों का उपयोग करने वाली कंपनियों के लिए अगले चरणों पर आगे बढ़ना पड़ सकता है।
  2. Annoy DNS कैश ऑपरेटर। यदि आपको कैश ASAP से रिकॉर्ड साफ़ करने की आवश्यकता है, तो आपकी एकमात्र वास्तविक पसंद पुनरावर्ती DNS के सबसे बड़े प्रदाताओं तक पहुंचना शुरू करना है, जिसके बारे में आप सोच सकते हैं और अपने तरीके से काम कर सकते हैं। इनमें से कुछ कंपनियों को आपको अनदेखा करने की संभावना है: या तो उन्हें लगता है कि आपकी कंपनी अपने ग्राहकों की देखभाल करने के लिए बहुत छोटी है, या वे अपने द्वारा की जाने वाली सहायता कॉल की संख्या को कम करने के लिए अपनी स्वयं की नीतियों को कैश करने के लिए कैश करते हैं। उत्तरार्द्ध मामले में, वे संभवतः सिकुड़ जाएंगे और समस्या को निर्धारित समय पर खुद को संभालने देंगे। आपकी कंपनी ने यह समस्या अपने लिए बनाई, आखिरकार।
  3. ISP के ग्राहक अपने ISP को आप के लिए परेशान करें। अगर कुछ दिन हो गए हैं और एक बड़ा आईएसपी कैश्ड रिकॉर्ड को नजरअंदाज कर रहा है, तो अपने किसी ग्राहक को शिकायत करने और उस कंपनी का टिकट आंतरिक उत्पन्न करने का प्रयास करें। उन्हें नज़रअंदाज़ करना उनके लिए कठिन है, लेकिन यह आपको किसी भी ऑप्स टीम के साथ अपने पक्ष में नहीं जीतेंगे क्योंकि उनके नज़रिए से आपने खुद से ऐसा किया है। यदि यह एक पुनरावृत्ति घटना है, तो वे शायद इन टिकटों को रद्द करने के लिए आपको केवल रद्द करना शुरू कर देंगे।
  4. DNS रिकॉर्ड को बायपास करने के लिए अपने भागीदारों को सलाह दें। यदि यह आपके भागीदारों द्वारा उपभोग किया गया एक मिशन क्रिटिकल DNS रिकॉर्ड है और उपरोक्त विकल्पों में से कोई भी स्वीकार्य नहीं है (यानी आप मिनट तक राजस्व से खून बह रहा है), आपकी कंपनी के पास समस्या को बायपास करने के लिए अपने सहयोगियों के साथ काम करने के अलावा कोई विकल्प नहीं है। यदि वे अपने स्थानीय कैश को नियंत्रित नहीं करते हैं, तो यह आमतौर पर प्रभावी सिस्टम के मेजबानों में प्रविष्टियां डालकर पूरा किया जाता है क्योंकि यह उन प्रोग्रामों को संशोधित करने की आवश्यकता से बचता है जो DNS रिकॉर्ड का उपयोग कर रहे हैं। यह केवल व्यवहार्य है अगर राजस्व हानि डेटा का उपभोग करने वाली कुछ चुनिंदा कंपनियों से जुड़ी हो। अन्य सभी मामलों में आप पहले तीन विकल्पों के साथ फंस गए हैं।
एंड्रयू बी
स्रोत
3
विकल्प 2 के लिए एक उदाहरण के रूप में, Google सार्वजनिक DNS के पास यह स्पष्ट करने के लिए कि यह कैश है।
बर्डी हार्बरो
16

खैर, सबसे पहले बिंद कॉन्फ़िगरेशन मैनुअल मैं देख रहा हूं कि टीटीएल एक हस्ताक्षरित 32-बिट पूर्णांक है, जिसे सेकंड में व्यक्त किया गया है, यह 2 ^ 31 का सैद्धांतिक अधिकतम देता है। इसे कहते हैं

मान्य TTLs 0-2147483647 सेकंड की सीमा के हैं।

या लगभग 68 साल। तो आप शायद पहली बार में इसे 100 साल तक सेट नहीं कर सकते।

तो, मान लें कि आपने इसे 68 साल पर सेट किया है। यह बहुत स्पष्ट है कि क्या होगा। DNS रिज़ॉल्वर जो आपके DNS रिकॉर्ड्स पर बेहद लंबे TTL का सम्मान करते थे, उन्हें उतने लंबे समय तक कैश कर सकते थे। कुछ DNS रिज़ॉल्वर TTL का बिल्कुल सम्मान नहीं करते हैं और अपनी इच्छा के अनुसार अपनी कैशिंग नीति को लागू करते हैं।

कारण यह है कि हम अधिकतम संख्या पर एक भी हार्ड नंबर नहीं डाल सकते हैं क्योंकि कई अलग-अलग विक्रेताओं द्वारा बनाए गए DNS के कई अलग-अलग कार्यान्वयन हैं, और वे सभी थोड़ा अलग चर का उपयोग करते हैं। उदाहरण के लिए, जुनिपर JunOS पर चलने वाला डीएनएस सर्वर केवल टीटीएल पर 604800 सेकंड या 7 दिन तक चलेगा।

रयान रीस
स्रोत
तो वास्तव में इसका मतलब है कि जब कोई व्यक्ति कंपनी के DNS नियंत्रण को हैक करता है, तो वह इसे 68 साल और आईपी को पोर्नहब पर डाल देता है, उसने वास्तव में डोमेन नाम को हमेशा के लिए नष्ट कर दिया है ?? : एक्स
डिर्क बोअर
11
यह मानते हुए कि आपने समस्या को ठीक कर दिया है, यह संभावना नहीं है कि डाउनस्ट्रीम DNS सर्वर अपने कैश को बिना साफ़ किए 68 साल जाएंगे, उदाहरण के लिए, रिबूट करके। यह भी संभावना है कि डाउनस्ट्रीम डीएनएस रिसोल्वर "मैक्सटीएलएल" के अपने विचार को लागू करते हैं जो प्राप्त टीटीएल पर अधिक उचित कैप लगाता है जैसे कि 68 वर्षों के बजाय 3 दिन। RFC 2308 पढ़िए कि मैं किस बारे में बात कर रहा हूँ।
रयान रेज़ सिप
4
BIND के बारे में विशेष रूप से इसमें 7 दिनों की डिफ़ॉल्ट सीमा है। max-cache-ttl: "अधिकतम समय सेट करता है जिसके लिए सर्वर साधारण (सकारात्मक) उत्तरों को कैश करेगा। डिफ़ॉल्ट एक सप्ताह (7 दिन) है।"
हेकैन लिंडक्विस्ट
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.