Мій реєстратор домену та DNS наразі ігнорують запити DNS до невідомих доменів. Під ігноруванням я маю на увазі чорні діри і ніколи не реагує, що змушує моїх клієнтів DNS та бібліотек роздільної здатності повторити спробу, відмовитись і, нарешті, таймаут.
dig @NS3.DNSOWL.COM somedomainthatdoesntexist.org
...
;; connection timed out; no servers could be reached
Оглядаючи інші популярні служби доменних імен, я бачу, що така поведінка є досить унікальною, оскільки інші провайдери повертають RCODE 5 (ВІДМОВА):
dig @DNS1.NAME-SERVICES.COM somedomainthatdoesntexist.org
dig @NS-284.AWSDNS-35.COM somedomainthatdoesntexist.org
dig @NS21.DOMAINCONTROL.COM somedomainthatdoesntexist.org
Усі повертають щось подібне:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 64732
або
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 31219
Повернення REFUSED
або NXDOMAIN
негайно підходить IMHO, на відміну від простого відмови від запиту на поверсі серверної кімнати.
Коли я скаржуюся своєму провайдеру на те, що їхні сервери не відповідають, вони просять мене цитувати RFC про порушення їх серверів. Я знаю, що дивно, що вони просять мене довести, що їх сервери повинні відповідати на всі запити, але так і нехай.
Запитання :
- Згідно з моїм умовою, якщо немає дублікатів ідентифікаторів запиту або якихось відповідей DOS, сервер повинен завжди відповідати на запит. Це правильно?
- Який RFC та конкретний розділ слід навести, щоб підтримати мою умову?
Мені погано не відповідати на запит DNS. Більшість клієнтів відмовляться і повторно передають той же запит або на той самий DNS-сервер, або на інший сервер. Вони не тільки сповільнюють роботу клієнтів, але й викликають повторний пошук тих же запитів власними або іншими серверами залежно від авторитетних серверів імен та записів NS.
У RFC 1536 та 2308 я бачу багато інформації про негативне кешування з міркувань продуктивності та припинення повторної передачі того ж запиту. У 4074 році я бачу інформацію про повернення порожньої відповіді з RCODE 0, тому клієнт знає, що немає інформації ipv6, яка повинна змусити клієнта запитати про RR, що є ще одним прикладом порожньої відповіді.
Але я не можу знайти RFC, який говорить про те, що сервер DNS повинен відповісти на запит, ймовірно, тому, що він мається на увазі.
Конкретна проблема виникає, коли я переміщую свій домен (і пов'язані з ним записи DNS) на їхні сервери або перші X хвилини після того, як я зареєструю новий домен у їх сервісі. Існує відставання між часом зміни авторитетних серверів імен (що досить проклято в ці дні) та їх серверами, які починають обслуговувати мої записи DNS. Протягом цього часу клієнти DNS вважають, що їхні сервери є авторитетними, але вони ніколи не відповідають на запит - навіть із a REFUSED
. Я розумію, що відставання є нормальним, але я не згоден з рішенням не відповідати на запити DNS. Для запису я розумію, як обійти ці обмеження в їхній системі, але я все ще працюю з ними, щоб покращити їхні послуги, щоб вони більше відповідали протоколу DNS.
Дякую за допомогу.
Редагувати:
Протягом декількох місяців після публікації цього повідомлення та мого зв’язку з моїм провайдером вони змінили свої сервери, щоб повернутися NXDOMAIN
до невідомих доменів.