我正在研究一个与不安全的动态 DNS 更新风险相关的案例研究。假设配置了一个内部 DNS,其中混合了静态和动态创建的地址。考虑一个 Windows AD 集成 DNS 环境。
我需要帮助解决以下几个问题
- 同一主机是否可以共存静态和动态创建的 A 记录(指向 DNS 服务器上的不同 IP 地址)?(例如,由网络上引入的新系统创建的具有相同主机名的动态 A 记录)
- 如果是,那么对于这种情况,DNS 解析将如何进行?DNS 查询是否可以解析为错误的动态 A 记录而不是静态 A 记录?
- 可以通过使用安全的动态 DNS 配置而不是不安全的 DDNS 更新来避免这种情况吗?如果可以,安全的 DDNS 如何防止这种情况发生。
对此事的任何帮助都将非常有帮助。
提前致谢。
答案1
同一主机可以共存静态和动态创建的 A 记录吗
一个名称可以解析为多个 IP 地址,即有多条A或AAAA记录。客户端在查询名称时会获取整套记录。
IP 地址的配置方式与上述内容无关,只是在“动态”情况下,更新通常实际上是一种替换,即:“请在删除所有现有 IP 地址后,将 X 解析为地址 Y”。
所以这完全取决于你的动态内容是如何工作的。如果它是加法的,那么你可以混合使用。
如果是,那么对于这种情况,DNS 解析将如何进行?DNS 查询是否可以解析为错误的动态 A 记录而不是静态 A 记录?
如果有多条A记录,则全部返回。客户端无法知道它们来自哪里(动态或静态)。
可以通过使用安全的动态 DNS 配置而不是不安全的 DDNS 更新来避免这种情况吗?如果可以,安全的 DDNS 如何防止这种情况发生。
是的,并且只使您的区域的子区域开放动态更新,而不是整个区域。