BIND 9.4.1 实现了私有地址空间的自动清空反向区域,以防止反向 DNS 泄漏。这为管理员省去了定义这些空区域的麻烦,并减少了会将反向 DNS 查找泄漏到IANA 的黑洞服务器。
自动空反向区域的合成回复的默认格式是什么?文档中没有完整描述格式。(只有几个选项的默认值)
答案1
如果未调整空区域的默认选项,则查询ANY应返回以下内容:
# dig @localhost 254.169.IN-ADDR.ARPA ANY
; <<>> DiG 9.8.4-P2 <<>> @localhost 254.169.IN-ADDR.ARPA ANY
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9411
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;254.169.IN-ADDR.ARPA. IN ANY
;; ANSWER SECTION:
254.169.IN-ADDR.ARPA. 86400 IN SOA 254.169.IN-ADDR.ARPA. . 0 28800 7200 604800 86400
254.169.IN-ADDR.ARPA. 0 IN NS 254.169.IN-ADDR.ARPA.
;; AUTHORITY SECTION:
254.169.IN-ADDR.ARPA. 86400 IN SOA 254.169.IN-ADDR.ARPA. . 0 28800 7200 604800 86400
- 请注意,权威答案 (
aa) 标志已设置。无递归。 - 该
NS记录指向该区域的顶点,但该顶点没有A记录。 - 唱片上没有粘着任何胶水
NS。 - SOA字段
MNAME(主服务器)与空区域的名称相同。此行为可通过选项更改empty-server。 - SOA
RNAME字段(联系人)包含一个点 (.)。此行为可通过选项更改empty-contact。 - 对区域顶部以下的记录的请求将返回
NXDOMAIN。
基于上述情况,对合成的空区域进行指纹识别的最可靠方法是查找标志aa,并检查NS记录是否指向缺少A记录的区域顶点。请记住,您无法检查响应,NXDOMAIN因为存在具有相同名称的其他记录类型;在请求记录时,您将获得NOERROR没有 ANSWER 部分的响应A。
通常可以安全地假设具有“官方” SOA 字段(MNAME的prisoner.iana.org.,RNAME的hostmaster.root-servers.org.)的响应已泄露到根名称服务器,但根据您在网络内运行的扫描,这可能并不总是足够的。