Zástupný záznam DNS - Wildcard DNS record

A zástupný záznam DNS je záznam v a Zóna DNS které budou odpovídat požadavkům na neexistující názvy domén. Zástupný záznam DNS je určen pomocí * jako levý štítek (část) názvu domény, např. * .example.com. Přesná pravidla, kdy bude divoká karta odpovídat, jsou uvedena v RFC  1034, ale pravidla nejsou ani intuitivní, ani jasně specifikovaná. To mělo za následek nekompatibilní implementace a neočekávané výsledky při jejich použití.

Definice zástupných znaků DNS

Zástupný záznam DNS v a soubor zóny vypadá podobně jako v tomto příkladu:

* .example.com. 3600 IN MX 10 host1.example.com.

Tento zástupný záznam DNS způsobí vyhledávání DNS na doménových jménech končících na example.com které neexistují, aby pro ně byly syntetizovány záznamy MX. Hledání záznamu MX pro somerandomname.example.com vrátí záznam MX směřující na host1.example.com.

Zástupné znaky v DNS jsou mnohem omezenější než jiné zástupné znaky používané v jiných počítačových systémech. Zástupné záznamy DNS mají jeden znak „*“ (hvězdičku) jako úplně vlevo Štítek DNS, jako * .example.com. Hvězdičky na jiných místech domény nebudou fungovat jako zástupný znak, takže ani jeden * abc.example.com ani abc. *. example.com pracovat jako zástupné záznamy DNS. Zástupný znak se navíc shoduje pouze v případě, že doména neexistuje, nejen v případě, že neexistují žádné odpovídající záznamy typu, na který byla dotazována. Dokonce i definice „neexistuje“, jak je definována ve vyhledávacím algoritmu RFC  1034 Oddíl 4.3.3 může mít za následek, že zástupný znak neodpovídá případům, které by se daly očekávat u jiných typů zástupných znaků.

Původní definice chování zástupných znaků DNS je uvedena v RFC  1034 oddíly 4.3.2 a 4.3.3, ale pouze nepřímo určitými kroky vyhledávacího algoritmu a ve výsledku nejsou pravidla ani intuitivní, ani jasně specifikovaná. Výsledkem je, že o 20 let později RFC  4592 „Úloha zástupných znaků v systému doménových jmen byla napsána, aby pomohla vyjasnit pravidla.

Citovat RFC  1912 „Běžnou chybou je myšlenka, že zástupný znak MX pro zónu bude platit pro všechny hostitele v zóně. Zástupný znak MX bude platit pouze pro jména v zóně, která nejsou v DNS uvedena vůbec.“ To znamená, že pokud existuje zástupný znak MX pro * .example.coma záznam A (ale žádný záznam MX) pro www.example.com, správná odpověď (podle RFC  1034 ) na požadavek MX pro www.example.com je „žádná chyba, ale žádná data“; to je v kontrastu s možnou očekávanou odezvou záznamu MX připojeného k * .example.com.

Příklad použití

Následující příklad pochází z RFC  4592 část 2.2.1 a je užitečná pro objasnění toho, jak fungují zástupné znaky.

Řekněme, že existuje Zóna DNS s následujícími záznamy zdrojů:

$ ORIGIN příklad. Příklad. Příklad 3600 IN SOA . 3600 NS ns.example.com.příklad. 3600 NS ns.example.net. *. Příklad. 3600 TXT „toto je zástupný znak“ *. Příklad. 3600 MX 10 host1.example.sub. *. Příklad. 3600 TXT „toto není zástupný znak“ host1.example. 3600 A 192.0.2.1_ssh._tcp.host1.example. 3600 SRV  _ssh._tcp.host2.example. 3600 SRV  dílčí příklad. 3600 NS ns.example.com.subdel.example. 3600 NS ns.example.net.

Užitečný je pohled na názvy domén ve stromové struktuře:

příklad├─ * │ └─ sub├─ hostitel1│ └─ _tcp│ └─ _ssh├─ hostitel2│ └─ _tcp│ └─ _ssh└─ subdel

Následující odpovědi by byly syntetizovány z jednoho ze zástupných znaků v zóně:

Dotazovaná doménaDotazovaný typ RRVýsledek
host3. příklad.MXOdpověď bude „host3.example. IN MX ...“
host3. příklad.AOdpověď bude odrážet „žádná chyba, ale žádná data“, protože není nastaven žádný záznam prostředku „RR“ *.příklad.
foo.bar. příklad.TXTOdpověď bude „foo.bar.example. IN TXT ...“, protože bar. příklad. neexistuje, ale zástupný znak ano.

Následující odpovědi by nebyly syntetizovány ze žádných zástupných znaků v zóně:

Dotazovaná doménaDotazovaný typ RRVýsledek
hostitel1. příklad.MXŽádná divoká karta se neshoduje, protože hostitel1. příklad. existuje. Místo toho dostanete odpověď „žádná chyba, ale žádná data“. Zástupný záznam MX neposkytuje záznamy MX pro domény, které jinak existují.
sub. *. příklad.MXŽádná divoká karta se neshoduje, protože sub. *. příklad. existuje. Doména sub. *. příklad. nikdy nebude fungovat jako divoká karta, i když má v sobě hvězdičku.
_telnet._tcp.host1.example.SRVŽádná divoká karta se neshoduje, protože _tcp.host1.example. existuje (bez údajů).
hostitelský příklad. příklad.AŽádná divoká karta se neshoduje, protože subdel. příklad. existuje a je to zónový střih, uvedení hostitelský příklad. příklad. do jiného Zóna DNS. I kdyby hostitelský příklad. příklad. neexistuje v jiné zóně, zástupná karta nebude použita z nadřazené zóny.
duch. *. příklad.MXŽádná divoká karta se neshoduje, protože *.příklad. existuje, jedná se o doménu se zástupnými znaky, ale stále existuje.

Poslední příklad zdůrazňuje jednu běžnou mylnou představu o zástupných znakech. Zástupný znak se „blokuje“ v tom smyslu, že zástupný znak neodpovídá jeho vlastním subdoménám. To znamená *.příklad. neodpovídá všem jménům v souboru příklad. zóna; neodpovídá níže uvedeným jménům *.příklad.. K pokrytí jmen pod *.příklad., je potřeba další zástupný název domény -*.*.příklad.—Který pokrývá všechny kromě svých vlastních subdomén.

V praxi

Citovat z RFC  4592, mnoho implementací DNS se odlišuje různými způsoby od původní definice zástupných znaků. Některé z variant zahrnují:

  • S djbdns Kromě kontroly zástupných znaků na aktuální úrovni server kontroluje zástupné znaky ve všech obklopujících superdoménách až po kořen.[Citace je zapotřebí ] V příkladech uvedených výše dotaz na _telnet._tcp.host1.example záznam MX by navzdory doméně odpovídal divoké kartě _tcp.host1.example existující.
  • Server DNS společnosti Microsoft (pokud je k tomu nakonfigurováno[1]) a MaraDNS (ve výchozím nastavení) zástupné znaky také odpovídají všem požadavkům na prázdné sady záznamů o prostředcích; tj. názvy domén, pro které neexistují žádné záznamy požadovaného typu. V příkladech uvedených výše dotaz na sub. *. příklad protože záznam MX by odpovídal *.příklad, i přes sub. *. příklad výslovně existující pouze s a Záznam TXT.

Žadatelé o registraci

Zástupné domény jsou široce používány blogovými webovými stránkami, které umožňují uživatelům vytvářet subdomény na vyžádání; např. weby jako WordPress nebo Blogspot. Další populární použití je zdarma Dynamický DNS webové stránky, které uživatelům umožňují vytvořit název DNS, který se mění, aby odpovídal jejich hostitelské IP, protože IP adresa je pravidelně měněna serverem DHCP jejich ISP.

Nové TLD

Nový gTLD je zakázáno publikování zástupných znaků (nebo používání ekvivalentních mechanismů názvových serverů) uživatelem specifikace 6 z ICANN Nová dohoda o základním registru gTLD. Nicméně ICANN Rámec správy kolizních událostí (PDF ), výslovně vyžaduje, aby nové gTLD zveřejňovaly (po dobu alespoň 90 dnů) speciální MX, SRV, TXT a 127.0.53.53 Záznam zástupných znaků, které varují před možnými kolizemi jmen kvůli použití relativních názvů domén s cesty hledání domény.

Registry / ISP

Několik registrátoři doménových jmen mít v různé době nasazeny zástupné záznamy pro domény nejvyšší úrovně poskytnout platformu pro reklamu, zejména VeriSign pro .com a .síť s jeho (nyní odstraněno) Vyhledávač stránek Systém. The .muzeum TLD také měl zástupný záznam, který byl nyní odstraněn. Od března 2018, domény nejvyšší úrovně používající záznam zástupného znaku A (jiné než 127.0.53.53) jsou .fm, .Los Angeles, .ph, .pw, .vg a .ws. The internacionalizováno TLD . 中国 (.xn - fiqs8s nebo .xn - fiqz9s pro „Čínu“) a .გე (.xn - uzel pro Gruzínský písmena pro gruzínský kód země „GE“) mají rovněž zástupné záznamy A. The *. 中国 zástupný znak vyřeší ibaidu.com (Chrome je označen jako nebezpečný) a * .გე zástupný znak vyřeší webovou stránku .ge TLD.

Rovněž se stalo běžným, že poskytovatelé internetových služeb syntetizují záznamy adres pro překlepy, pro stejnou osobu se nazývá praxe "catchall" typosquatting, ale nejedná se o skutečné divoké karty, ale spíše o změnu jmenných serverů v mezipaměti.[2]

Ignorování zástupných znaků od ostatních

The Konsorcium internetového softwaru vytvořil verzi SVÁZAT Software DNS, který lze nakonfigurovat k odfiltrování zástupných záznamů DNS z konkrétních domén. Produkovali různí vývojáři softwarové opravy pro SVÁZAT a pro djbdns.

Ostatní programy serverů DNS postupovaly podle toho a poskytly možnost ignorovat zástupné záznamy DNS podle konfigurace.

Reference

externí odkazy