Що відбувається, коли хтось отримує доступ до вашого контролю DNS і встановлює TTL 100 років у вашому домені, вказуючи його IP на якийсь незрозумілий веб-сайт?
(і ви виявите це занадто пізно, звичайно)
Що відбувається, коли хтось отримує доступ до вашого контролю DNS і встановлює TTL 100 років у вашому домені, вказуючи його IP на якийсь незрозумілий веб-сайт?
(і ви виявите це занадто пізно, звичайно)
Відповіді:
Райан дав чудову відповідь на одне тлумачення вашого запитання. Однак, враховуючи нашу цільову аудиторію та ситуацію людей, які, швидше за все, натрапляють на запитання, я збираюся відповісти на іншу.
Тут у вас є кілька варіантів. Перш за все, потрібно виявити вектор проблеми та усунути її. Намагатися стримати шкоду - безглуздо, коли у вас немає контролю над проблемою, що повторюється.
Ну, по-перше, керівництво по конфігурації Bind, на яке я дивлюсь, говорить про те, що TTL - це підписане 32-бітове ціле число, виражене в секундах, що дає йому теоретичний максимум 2 ^ 31. Він говорить
Дійсні TTL мають діапазон 0-2147483647 секунд.
Або приблизно 68 років. Тож ви, мабуть, не можете встановити його в першу чергу на 100 років.
Отже, скажімо, ви встановили це на 68 років. Досить зрозуміло, що б сталося. Розв’язувачі DNS, які поважали надзвичайно довгий TTL у ваших записах DNS, кешуватимуть їх стільки, скільки могли. Деякі DNS-розв'язувачі взагалі не поважають TTL та просто реалізують власну політику кешування, як би вони хотіли.
Причина, що ми не можемо поставити одне тверде число на максимум, полягає в тому, що існує багато різних реалізацій DNS, створених багатьма різними постачальниками, і всі вони використовують трохи різні змінні. Наприклад, сервер DNS, який працює на Juniper JunOS, буде тривати лише 604800 секунд або 7 днів на TTL.
max-cache-ttl
: "Встановлює максимальний час, протягом якого сервер буде кешувати звичайні (позитивні) відповіді. За замовчуванням - тиждень (7 днів)."