本地根服务器：IXFR 和 TSIG

Question

根区的 IXFR

我认为缺乏 IXFR 不一定是纯粹的政策问题（正如问题中的“允许”所暗示的那样），而是一种技术限制，因为根服务器可能不维护/不具有区域数据的版本历史记录，而这是构建 IXFR 响应的必要条件。
此外，我认为构建 IXFR 响应会带来相当耗费资源的最坏情况，这可能会导致滥用绝对关键基础设施中可用的非必要功能。

在这方面，我认为如果专门的ICANN 区域传输服务会允许 IXFR，但据我了解，它也不允许。

区域数据真实性

对于数据认证问题，您说得对，没有 TSIG 的普通 AXFR（或 IXFR）很容易被中间人篡改。
这绝对是一个需要考虑的重要问题，但数据认证情况与您对根服务器的常规查询非常相似。查看您引用的文档，他们规定了与常规查询完全相同的解决方案：DNSSEC。

这就是为什么您引用的文档说要设置两个视图（BIND 特定的，可能比它本身更复杂）或两个名称服务器实例（可以是 BIND 或其他东西）：

一个对根区域具有权威性的视图/服务器（从属）
一个视图/服务器，为客户端提供递归，并具有使用服务器/视图 1 的静态存根根区域。

这个有点复杂的练习的全部目的是强制递归服务验证 DNSSEC，即使根区域是在本地托管的，特别是因为数据不被视为固有可信的。

其他选择

根区位于通过 https 的主文件格式来自 Internic/ICANN。这在集成方面有点不方便，但肯定是有用的。

AXFR over TLS（DoT）也可能是一种选择（提供可信来源），但我不相信这适用于根区域。

Answer 1

根区的 IXFR

我认为缺乏 IXFR 不一定是纯粹的政策问题（正如问题中的“允许”所暗示的那样），而是一种技术限制，因为根服务器可能不维护/不具有区域数据的版本历史记录，而这是构建 IXFR 响应的必要条件。
此外，我认为构建 IXFR 响应会带来相当耗费资源的最坏情况，这可能会导致滥用绝对关键基础设施中可用的非必要功能。

在这方面，我认为如果专门的ICANN 区域传输服务会允许 IXFR，但据我了解，它也不允许。

区域数据真实性

对于数据认证问题，您说得对，没有 TSIG 的普通 AXFR（或 IXFR）很容易被中间人篡改。
这绝对是一个需要考虑的重要问题，但数据认证情况与您对根服务器的常规查询非常相似。查看您引用的文档，他们规定了与常规查询完全相同的解决方案：DNSSEC。

这就是为什么您引用的文档说要设置两个视图（BIND 特定的，可能比它本身更复杂）或两个名称服务器实例（可以是 BIND 或其他东西）：

一个对根区域具有权威性的视图/服务器（从属）
一个视图/服务器，为客户端提供递归，并具有使用服务器/视图 1 的静态存根根区域。

这个有点复杂的练习的全部目的是强制递归服务验证 DNSSEC，即使根区域是在本地托管的，特别是因为数据不被视为固有可信的。

其他选择

根区位于通过 https 的主文件格式来自 Internic/ICANN。这在集成方面有点不方便，但肯定是有用的。

AXFR over TLS（DoT）也可能是一种选择（提供可信来源），但我不相信这适用于根区域。

本地根服务器：IXFR 和 TSIG

答案1

根区的 IXFR

区域数据真实性

其他选择

相关内容