Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DNS Additional Section Processing - RfC-Konformes Verhalten

Mitglied: filippg

filippg (Level 3) - Jetzt verbinden

09.12.2013, aktualisiert 20:15 Uhr, 1821 Aufrufe, 4 Kommentare, 2 Danke

Hallo Zusammen,

eine Frage an DNS-Checker: Wie verhält sich ein Resolver korrekt beim Auswerten von Additional Sections bzw. bei Fehlern darin?

Beispiel: Bei einer Anfrage nach www.administrator.de liefert der Root-Server für .de (a.nic.de) nicht nur den Name des NS für administrator.de, sondern auch gleich in der Additional Section die zugehörige IP mit:

;; Answer received from 194.0.0.53 (130 bytes)
;;
;; Security Level : UNCHECKED
;; HEADER SECTION
;; id = 49845
;; qr = true opcode = Query aa = false tc = false rd = false
;; ra = false ad = false cd = false rcode = NOERROR
;; qdcount = 1 ancount = 0 nscount = 2 arcount = 3

OPT pseudo-record : payloadsize 4096, xrcode 0, version 0, flags 0

;; QUESTION SECTION (1 record)
;; www.administrator.de. IN A

;; AUTHORITY SECTION (2 records)
administrator.de. 86400 IN NS ns.namespace4you.de.
administrator.de. 86400 IN NS ns2.namespace4you.de.

;; ADDITIONAL SECTION (3 records)
ns.namespace4you.de. 86400 IN A 80.67.16.124
ns2.namespace4you.de. 86400 IN A 193.223.77.3

So weit, so schön. Nur: Was ist jetzt, wenn diese Additional Section eine fehlerhafte IP enthält? Wir haben immer mal wieder den Fall, dass dort IPs von Nameservern stehen, die es schon läääängst nicht mehr gibt. Klar, sollte nicht sein - ist aber so. Verhält sich dann unser Resolver korrekt wenn er sagt "abc.xyz.com konnte ich nicht auflösen, weil ich keinen der Nameserver für xyz.com erreicht habe" (sprich: Wenn er sich auf die falschen Einträge der Additional Section verlässt), oder müsste der Resolver in dem Fall die IPs der Nameserver selbständig nochmal über den gesamten Baum auflösen?

Grüße & Danke

Filipp
Mitglied: AndiEoh
10.12.2013 um 14:22 Uhr
Hallo,

das Stichwort ist "glue record". Wenn der Name des NS in der gleichen Domaine liegt muß der übergeordnete NS eine IP mitliefern, sonst hast du nichts mit dem du die Baumstruktur weiter nach unten gehen kannst. Früher wurden meines Wissen nach von Caching Resolvern alles dankbar aufgenommen was in den additional sections war, heute beschränkt man sich üblicherweise auf Werte die in der selben DNS Domaine liegen um Cache-Poisoning zu erschweren. Theoretisch müsste der Resolver also nach den Nameservern für namespace4you.de fragen und falls diese im .de Bereich liegen auf die IP vertrauen die mitgeliefert wird und dort nach ns.namespace4you.de und ns2.namespace4you.de fragen. Sind aber in diesem Fall eh die gleichen

Gruß

Andi
Bitte warten ..
Mitglied: filippg
10.12.2013 um 21:35 Uhr
Hi Andi,

danke für deine Antwort!
Das mit dem Glue und dem "sonst hast du nichts mit dem du die Baumstruktur weiter nach unten gehen kannst" war mir vorhin im Büro dann auch aufgefallen... In sofern war auch mein Beispiel schlecht gewählt: da wo es nicht funktioniert ist immer der NS in einer anderen TLD als der gesuchte A-Record.

Früher wurden meines Wissen nach von Caching Resolvern alles dankbar aufgenommen was in den additional sections war,
heute beschränkt man sich üblicherweise auf Werte die in der selben DNS Domaine liegen um Cache-Poisoning zu erschweren.
Das ist genau der springende Punkt, bzw. die Frage: Was ist Standardkonform? Der Resolver, um den es geht, bereitet uns Ärger dadurch, dass er die Additional Section auch wenn der NS in einer anderen TLD liegt verwendet. Der Hersteller verweist erstmal darauf, dass da halt alte/falsche Informationen im DNS sind, für die er ja nun nichts kann (womit er natürlich nicht unrecht hat)

Grüße

Filipp
Bitte warten ..
Mitglied: AndiEoh
12.12.2013 um 17:12 Uhr
Hallo,

hier gibt es eine (wenn auch etwas emotionale) "Diskussion" zu diesem Thema:

http://cr.yp.to/djbdns/notes.html

Bezüglich Standardkonform hat der Hersteller wohl recht, wenn man einen hinreichend alten Standard (RFC 1034) verwendet
Auf der sicheren Seite wäre man mit DNSSEC, außerdem gibt es meines Wissens nach kein DNSSEC fähiger resolver der additional sections ohne Prüfung übernimmt, auch wenn die Domain nicht signiert ist. Lange Rede kurzer Sinn: Mit der Sicherheit des Resolver scheint es nicht weit her zu sein, falls möglich solltet Ihr etwas anderes verwenden, z.B. den hier http://www.unbound.net/

Gruß

Andi
Bitte warten ..
Mitglied: filippg
14.12.2013 um 16:20 Uhr
Hi Andi,

Danke für den Link, den Artikel finde ich ziemlich gut!

Resolver-Wechseln kommt leider nicht in Frage, es geht um eine Appliance - lustigerweise aus dem Security-Bereich. Werden wir mal versuchen, mit dem Hersteller zu reden. Ob dadrüber tatsächlich Cache-Poisioning möglich wäre, weiß ich nicht - Voraussetzung dazu wäre ja, dass die out-of-baliwick-Antwort auch für andere Anfragen gecacht wird.

Grüße

Filipp
Bitte warten ..
Ähnliche Inhalte
E-Mail
Exchange Online - RFC Konform ?
Frage von HenereE-Mail10 Kommentare

Servus zusammen, Kunde meldet: Software X schickt keine Mails mehr bei Updates (Listenabgleich mit Server vom Hersteller). Also mit ...

Sicherheitsgrundlagen
Serverraum BSI konform errichten
Frage von MichiBLNNSicherheitsgrundlagen7 Kommentare

Hallo, wir möchten unseren Serverraum nach dem BSI Grundschutz umbauen. Ich weiß, dass das ein großes und komplexes Projekt ...

Batch & Shell
Powershell Foreach Key in Section
gelöst Frage von MarabuntaBatch & Shell2 Kommentare

Ich will Skriptseitig die ausgelesenen Versionen mit Soll-Versionen aus einer Ini-Datei abgleichen, nur wie prüfe ich so viele unterschiedliche ...

Hardware

Gibt es ein "digital image processing system" ?

gelöst Frage von ichigo77Hardware3 Kommentare

Hallo, ich bin auf das Thema Image Processing gestoßen und wollte fragen ob es auf dem Markt ein fertiges ...

Neue Wissensbeiträge
Humor (lol)
Preisvertipper
Information von Dilbert-MD vor 2 TagenHumor (lol)7 Kommentare

Moin! weil heute Freitag ist, zeige ich Euch den Preisvertipper der Woche: vergesst den Acer Predator 21x, der ist ...

Windows Update
Sicherheitsupdate für SQL Server 2014 SP3
Information von sabines vor 3 TagenWindows Update2 Kommentare

Für den SQL Server 2014 existiert ein Sicherheitsupdate. Laut KB Artikel wird es als CU3 angezeigt: Server 2014 SP3 ...

Backup

Veeam Agent für MS Windows - neue Version verfügbar (bedingt jedoch offenbar .NET Framework 4.6)

Information von VGem-e vor 4 TagenBackup1 Kommentar

Moin Kollegen, einer unserer Server zeigte grad an, dass für o.g. Software ein Update verfügbar ist. Ob ein evtl. ...

Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 6 TagenPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Heiß diskutierte Inhalte
Cloud-Dienste
MS Sharepoint generelle Frage zur Einrichtung
Frage von ralf86Cloud-Dienste15 Kommentare

Hallo, ich will den Sharepoint als FileServer nutzen. Hier sollen mehrere Freigabeordner mit unterschiedlichen Berechtigungen erstellt werden z.B. Geschäftsführung ...

Router & Routing
FritzBox und SynologyNAS VPN
Frage von ndeedyRouter & Routing10 Kommentare

Moin moin. Irgendwie habe ich entweder ein bescheuertes Setup, oder mir bereits komplett die Birne mit Versuchen durchgebraten. Bin ...

Vmware
VMware Update 5.1 zu 6.7U4
gelöst Frage von patrickebertVmware8 Kommentare

Hallo alle zusammen, ich den nächsten Monaten steht für mich die Umstellung zwei neuer physikalischer Server an und ich ...

Outlook & Mail
Outlook 2016: Schrift der Ordnerspalte verkleinern
Frage von usercrashOutlook & Mail7 Kommentare

Hallo, wie/wo kann man in MS Outlook 2016 im Ordnerbereich am linken Bildrand die Schriften, die Überschriften und den ...