AhmedWas Asked: 2018-11-06 01:01:37 +0800 CST2018-11-06 01:01:37 +0800 CST 2018-11-06 01:01:37 +0800 CST 为什么要在 DNS 中发送权威域名服务器? 772 出于好奇,我正在检查 Wireshark DNS 数据包。我可以看到有来自主机的 DNS 查询,然后是来自 DNS 服务器的 DNS 响应。一切都和预期的一样。 但是,如果您进一步检查查询,您可以看到服务器也发送了 NS(权威名称服务器)。我的问题是:为什么? 作为主机,我只关心IP。这是DNS 的要点,将名称解析为 IP 地址。 为什么,作为主持人,我需要 NS 信息? domain-name-system 2 个回答 Voted Best Answer HBruijn 2018-11-06T01:26:38+08:002018-11-06T01:26:38+08:00 传统上,名称服务器不会向查询发送简短响应,而是发送符合 RFC 1034 - 1035的完整响应,其中包括包含指向权威名称服务器的资源记录的权限部分。 原因可能是由于 DNS 的分布式和委托性质,当时在响应中包含“事实来源”似乎是个好主意。 编辑:顺便说一句:发送权限部分符合 RFC,但并非对所有查询响应都是强制性的。 在 BIND 中,可以使用minimal-responses yes | no;指令调整此行为,其中默认值是no,并且查询响应的权限和附加部分将始终完全填充。 默认情况下,其他名称服务器 CloudFlare、AWS Route 53、Infoblocks 和可能其他名称服务器将始终发送如此少的响应。谷歌的公共解析器将在可用时返回一个授权部分,Cloudflare。 我认为包含权威部分和实际查询响应的传统起源于现在已过时的RFC882第 15-16 页的(伪)代码中 If the name server is not authoritative, the code copies the RRs for a closer name server into the response. The last section of the code copies all relevant RRs into the response. Barmar 2018-11-06T09:11:37+08:002018-11-06T09:11:37+08:00 服务器不知道请求是来自终端客户端,还是来自另一个名称服务器的递归请求。如果它是另一个名称服务器,它可以缓存授权部分并在将来直接查询这些名称服务器。 我相信这是协议中最初的理由,但它具有安全隐患。响应可以包括列出虚假名称服务器的权限部分,这已用于缓存中毒攻击。因此,名称服务器通常不会缓存 NS 记录,除非它们是您正在查询的域的子域的委托记录。
传统上,名称服务器不会向查询发送简短响应,而是发送符合 RFC 1034 - 1035的完整响应,其中包括包含指向权威名称服务器的资源记录的权限部分。
原因可能是由于 DNS 的分布式和委托性质,当时在响应中包含“事实来源”似乎是个好主意。
编辑:顺便说一句:发送权限部分符合 RFC,但并非对所有查询响应都是强制性的。
在 BIND 中,可以使用
minimal-responses yes | no;指令调整此行为,其中默认值是no,并且查询响应的权限和附加部分将始终完全填充。默认情况下,其他名称服务器 CloudFlare、AWS Route 53、Infoblocks 和可能其他名称服务器将始终发送如此少的响应。谷歌的公共解析器将在可用时返回一个授权部分,Cloudflare。
我认为包含权威部分和实际查询响应的传统起源于现在已过时的RFC882第 15-16 页的(伪)代码中
服务器不知道请求是来自终端客户端,还是来自另一个名称服务器的递归请求。如果它是另一个名称服务器,它可以缓存授权部分并在将来直接查询这些名称服务器。
我相信这是协议中最初的理由,但它具有安全隐患。响应可以包括列出虚假名称服务器的权限部分,这已用于缓存中毒攻击。因此,名称服务器通常不会缓存 NS 记录,除非它们是您正在查询的域的子域的委托记录。