Solaris DNS

Question

Oliver Salzburg

Asked: 2015-06-06 13:46:19 +0800 CST2015-06-06 13:46:19 +0800 CST 2015-06-06 13:46:19 +0800 CST

DNS 客户端能否区分他们收到的答案是基于通配符记录还是特定匹配？

772

我在*我们的一个区域有记录，我改变了它。但是当我从公共 DNS 服务器查询该区域的某些随机名称时，我仍然收到旧 IP 地址。

这对我来说毫无意义。我查询的服务器无法知道该名称的正确 IP 地址，除非他们知道存在通配符记录。否则，他们将不得不询问我们的名称服务器。

当我向我们自己的名称服务器查询相同的名称时，它们会返回新的 IP 地址。

发生什么了？

2 个回答

Voted

Håkan Lindqvist · Answer 1 · 2015-06-06T14:04:45+08:00

Best Answer

Håkan Lindqvist

2015-06-06T14:04:45+08:002015-06-06T14:04:45+08:00

我快速查看了所有权威名称服务器是否已同步。

$ dig +nssearch fm.mg
SOA ns1.hartwig-at.de. hostmaster.hartwig-at.de. 2015022400 86400 10800 2419200 3600 from server 217.70.177.40 in 8 ms.
SOA ns1.hartwig-at.de. hostmaster.hartwig-at.de. 2015060502 86400 10800 2419200 3600 from server 2a00:1158:3::b6 in 25 ms.
SOA ns1.hartwig-at.de. hostmaster.hartwig-at.de. 2015060502 86400 10800 2419200 3600 from server 134.119.4.37 in 26 ms.
SOA ns1.hartwig-at.de. hostmaster.hartwig-at.de. 2015060502 86400 10800 2419200 3600 from server 37.200.99.108 in 28 ms.
SOA ns1.hartwig-at.de. hostmaster.hartwig-at.de. 2015060502 86400 10800 2419200 3600 from server 2a00:1158:3::87 in 28 ms.
$

似乎它217.70.177.40正在为该区域的旧版本提供服务，这可能解释了结果的变化。

7

kasperd · Answer 2 · 2015-06-06T14:37:04+08:00

kasperd

2015-06-06T14:37:04+08:002015-06-06T14:37:04+08:00

如果您不使用 DNSSEC，则客户端无法确定回复是由*区域中的记录还是由完全匹配产生的。

客户端可以通过将查找所需名称产生的答案与查找随机字符串产生的答案进行比较来使用启发式算法。如果答案相同，则可能是*记录，如果答案不同，则可能不是*记录。

但是，如果该区域使用 DNSSEC 脱机签名，则客户端可以查看是否使用了*记录。这是因为签名中使用的名称实际上将包含一个文字*字符，这将证明答案是使用*记录产生的。*此外，NSEC3 可以提供一个签名，表明在不使用记录的情况下无法回答所请求的名称。

5

DNS 客户端能否区分他们收到的答案是基于通配符记录还是特定匹配？

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

DNS 客户端能否区分他们收到的答案是基于通配符记录还是特定匹配？

2 个回答

相关问题