如果没有在我的解析器上启用DNSSEC,我对即将对根服务器进行的更改有什么担心吗?
解决方法
特别是,即使没有特别要求DNSSEC记录或执行DNSSEC验证,BIND也会在上游查询中设置“DNSSEC OK”(又称DO)位.
在这些情况下,根服务器可能会发回其他DNSSEC记录,这些记录可能会在路径中出现网络设备损坏和/或配置错误的防火墙的情况下出现问题.
这些问题主要与数据包大小有关.某些工具包不喜欢长度超过512字节的DNS UDP数据包,无论是通过有缺陷的固件还是来自供应商的错误推荐配置.有关详细信息,请参阅我的RFC 5625.请注意,我在该RFC中报告的大多数与DNSSEC相关的问题与消费类齿轮有关,并且仅在异常配置中有关.
请注意,如果您的工具包确实存在大型UDP数据包问题,那么回退就是使用TCP.然而,一些(误入歧途的)安全人员将其防火墙配置为禁用TCP上的出站DNS,从而打破了后备.有关DNS over TCP的更多信息,请参见this IETF草案.
顺便说一下,为了测试你的网络配置是否存在可能的DNS怪癖,我强烈推荐加州大学伯克利分校ICSI的优秀Netalyzr网站.
然而,需要明确的是,由于引入了DNSSEC,大多数DNS专家并不期待重大问题.几个顶级域名(包括.org和.se)已经签署,因特网没有崩溃.
DURZ是故意尝试逐步进入DNSSEC不可避免地产生的更大响应,以便那些有网络问题的稀有站点可以在整个根区域在夏天转移到DNSSEC之前解决它们.
原文地址:https://www.jb51.cc/html/229612.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
