[uanog] Странности современного резолвинга и как их понимать и диагностировать
Valentin Nechayev
netch at netch.kiev.ua
Thu Dec 8 12:18:21 EET 2022
hi all,
столкнулся с такой ситуацией. Имена/IPs не секрет, но замаскированы чтобы
не влезать в лишние в общем случае подробности, если надо - открою.
Есть домены buka.kiev.ua и zuka.kiev.ua. Из авторитетных
серверов kiev.ua выбираю для определённости nn.ns.ua (не думаю, что
есть существенная разница, поправьте, если что).
$ dig @nn.ns.ua buka.kiev.ua a
;; AUTHORITY SECTION:
buka.kiev.ua. 28800 IN NS ns11.zuka.kiev.ua.
buka.kiev.ua. 28800 IN NS ns22.zuka.kiev.ua.
;; ADDITIONAL SECTION:
ns11.zuka.kiev.ua. 28800 IN A 10.1.0.1
ns22.zuka.kiev.ua. 28800 IN A 10.2.0.2 <-- ???
Повторный запрос показывает точно такой же TTL - значит, сервер отдаёт
то, что считает авторитетным данным. Как я подозреваю, это идёт из
какой-то glue record.
В то же время, если делать прямой запрос ns22.zuka.kiev.ua, nn.ns.ua
редиректит:
;; AUTHORITY SECTION:
zuka.kiev.ua. 28800 IN NS ns1.the-registrar.ua.
zuka.kiev.ua. 28800 IN NS ns2.the-registrar.ua.
И уже эти NSʼы отвечают другим IP, который и ожидается:
;; ANSWER SECTION:
ns22.zuka.kiev.ua. 3600 IN A 10.3.0.3 <-- OK
Вот тут "меня начинают терзать смутные сомнения". Отдача записи glue в
additional - норма начиная со времён где-то ISC BIND 9.4, когда начали вполне
справедливо параноить на тему кэша и опасных записей в нём. Но почему
эта запись вообще появляется тут? Клеевые записи должны применяться,
по новым положениям, только для резолвинга того домена, к которым они
относятся, не так ли? То есть, если рекурсор пошёл резолвить
buka.kiev.ua, он должен добраться до того, кто авторитетно (не из
glue) отвечает IP для ns22.zuka.kiev.ua, и уже получив эти данные идти
резолвить что-то из buka.kiev.ua? А промежуточные авторитетные
отдатчики зон не должны отвечать записями, которые не относятся к их
компетенции?
Почему вообще возник вопрос - есть подозрение, что тут некоторые
(вероятно, сильно старые) рекурсоры ловят все входящие данные, в
частности, из таких additional. В этом случае они накапливают
неадекватные адреса, и выловить источник такого крайне тяжело.
И следующий технический вопрос тогда к Хостмастеру. Вы фильтруете
подаваемое от регистраторов на предмет чужих glue (не относящихся к
управляемому домену)?
Если да, какой механизм возникновения описанной выше ситуации?
Если нет, то почему?
-netch-
More information about the uanog
mailing list