本地根服务器:IXFR 和 TSIG

本地根服务器:IXFR 和 TSIG

我找到了那些幻灯片https://www.isc.org/docs/Apricot2017.pdf这回答了我的问题:根服务器是否允许 IXFR。但我不明白为什么根服务器不允许 IXFR?

此外,如果没有 TSIG,运行本地根服务器时如何确保消息的真实性和完整性?

答案1

根区的 IXFR

我认为缺乏 IXFR 不一定是纯粹的政策问题(正如问题中的“允许”所暗示的那样),而是一种技术限制,因为根服务器可能不维护/不具有区域数据的版本历史记录,而这是构建 IXFR 响应的必要条件。
此外,我认为构建 IXFR 响应会带来相当耗费资源的最坏情况,这可能会导致滥用绝对关键基础设施中可用的非必要功能。

在这方面,我认为如果专门的ICANN 区域传输服务会允许 IXFR,但据我了解,它也不允许。

区域数据真实性

对于数据认证问题,您说得对,没有 TSIG 的普通 AXFR(或 IXFR)很容易被中间人篡改。
这绝对是一个需要考虑的重要问题,但数据认证情况与您对根服务器的常规查询非常相似。查看您引用的文档,他们规定了与常规查询完全相同的解决方案:DNSSEC。

这就是为什么您引用的文档说要设置两个视图(BIND 特定的,可能比它本身更复杂)或两个名称服务器实例(可以是 BIND 或其他东西):

  1. 一个对根区域具有权威性的视图/服务器(从属)
  2. 一个视图/服务器,为客户端提供递归,并具有使用服务器/视图 1 的静态存根根区域。

这个有点复杂的练习的全部目的是强制递归服务验证 DNSSEC,即使根区域是在本地托管的,特别是因为数据不被视为固有可信的。

其他选择

根区位于通过 https 的主文件格式来自 Internic/ICANN。这在集成方面有点不方便,但肯定是有用的。

AXFR over TLS(DoT)也可能是一种选择(提供可信来源),但我不相信这适用于根区域。

相关内容