假设我被 APNIC 分配了 C 类 IP 地址块。在 DNS 中设置域名时,我该如何证明我是这些 IP 地址的唯一所有者?假设我使用其中一个 IP 地址来托管一个网站,域名是我购买的,而其他人可以使用这个 IP 地址并将其与 DNS 中的另一个域名关联,是不是没人愿意这样做,因为这样做没有任何好处,因为它会推广其他人的网站,就像“将钱存入其他人的银行账户”一样,大多数恶意黑客都想劫持他们网站的流量(因此他们选择与真实域名非常相似的域名来混淆人们)但如果可行,这听起来仍然很奇怪,例如,我的对手可以将类似的域名ComanyXXXIsRubbish.com
与我的 IP 地址关联起来并损害我公司的声誉?
答案1
直接回答你的问题,你不需要。DNS 不会断言其注册人或任何其他人如何使用 IP。没有人会要求你证明对任何现有 TLD 上的 IP 的所有权。也许有一天会有一个 TLD 需要它,但如果他们想维护该服务,他们将面临艰巨的工作。
DNS 只是一种命名服务。它的唯一工作是托管包含名称的区域并将这些名称映射到地址。因此,注册人拥有他们注册的名称,并控制如何处理这些名称。然而,由于许多原因,底层 IP 地址的控制超出了 DNS 的范围。
名称始终是地址之上的抽象。这允许诸如分割水平查找、灾难恢复切换、负载平衡网络场、共享主机(其中一个 IP 托管由许多所有者拥有的多个站点)、在世界各地设有服务器的地理定位服务、CDN 缓存等。所有这些名称映射的变体形式使我们能够以多种方式托管我们的服务,这是通过 IP 来来去去但名称指向的位置灵活的理念实现的。
相反,为了回应您的担忧,大多数组织都会限制其服务层,以便它知道应该响应的名称。并非所有服务都实现包含已知名称的功能(必须在应用层数据报中传达),但对于那些包含已知名称的服务(包括 HTTP/S、FTPS、SMTP/IMAP 等),可以将服务配置为要求在标头中使用 HOST 或 SNI 或类似字段来标识客户端尝试连接的域名。这通常是使用仅对其颁发的域有效的证书来实现的。
此外,对于某些协议,可以实施应用层网关 (ALG),以根据应用层数据中的域名过滤流量。这些包括复杂的网络防火墙、应用程序反向代理和企业级负载平衡器。