我发现那些幻灯片https://www.isc.org/docs/Apricot2017.pdf回答了我的问题,如果根服务器允许或不允许 IXFR。但我不明白为什么根服务器上不允许使用 IXFR?
另外,如果没有 TSIG,在运行本地根服务器时如何确保消息的真实性和完整性?
AskOverflow.Dev
我发现那些幻灯片https://www.isc.org/docs/Apricot2017.pdf回答了我的问题,如果根服务器允许或不允许 IXFR。但我不明白为什么根服务器上不允许使用 IXFR?
另外,如果没有 TSIG,在运行本地根服务器时如何确保消息的真实性和完整性?
根区的 IXFR
我认为缺少 IXFR 不一定是纯粹的政策问题(正如问题中的“允许”所暗示的那样),而是基于根服务器可能不维护/拥有区域数据的版本历史的技术限制,这是能够构建 IXFR 响应的要求。
此外,我认为构建 IXFR 响应会带来相当资源密集型的最坏情况,这可能会导致滥用绝对关键基础设施中可用的非必要功能。
在这方面,如果专门的ICANN 区域转移服务允许 IXFR,我会发现它更有可能,但据我了解,它也不允许。
区域数据真实性
对于数据身份验证,您是对的,没有 TSIG 的普通 AXFR(或 IXFR)可能会被中间人轻易篡改。
这绝对是需要考虑的重要事项,但数据身份验证情况与您对根服务器的常规查询非常相似。查看您引用的文档,他们规定了与常规查询完全相同的解决方案:DNSSEC。
这就是为什么您引用的文档说设置两个视图(特定于 BIND,可能比它的价值更复杂)或两个名称服务器实例(可能是 BIND 或其他):
这个有点复杂的练习的全部目的是强制递归服务验证 DNSSEC,即使根区域托管在本地,特别是因为数据本身并不被视为可信。
其他选项
根区域可通过来自 Internic/ICANN的 https 以主文件格式提供。这在集成方面有点不方便,但肯定可以使用。
AXFR over TLS (DoT) 也可能是一种选择(提供可信来源),但我认为这不适用于根区域。