DNS zonasini uzatish - DNS zone transfer

DNS zonasini uzatish, ba'zida induksion DNS so'rov turi bilan ham tanilgan AXFR, bir turi DNS bitim. Bu ma'murlar uchun mavjud bo'lgan ko'plab mexanizmlardan biridir takrorlash To'plami bo'yicha DNS ma'lumotlar bazalari DNS-serverlar.

Zonani uzatishda Transmissiyani boshqarish protokoli (TCP) transport uchun va a shaklini oladi mijoz-server bitim. Mintaqaviy uzatishni talab qiladigan mijoz, tarixiy deb ataladigan, asosiy serverdan ma'lumotlarni talab qiladigan ikkilamchi server bo'lishi mumkin usta va qul.^[1] Ma'lumotlar bazasining takrorlanadigan qismi a zona.

Ishlash

Mintaqaviy uzatish preambuladan, so'ngra haqiqiy ma'lumotlarni uzatishdan iborat. Muqaddimada Hokimiyatning boshlanishi (SOA) "zona cho'qqisi" uchun resurs zahirasi, "zona" ning yuqori qismida joylashgan DNS nom maydonining tuguni. Ushbu SOA resurs yozuvlari maydonlari, xususan, "seriya raqami", ma'lumotlarning haqiqiy uzatilishi umuman zarurligini aniqlaydi. Mijoz SOA resurs yozuvining seriya raqamini ushbu manba yozuvining oxirgi nusxasidagi seriya raqami bilan taqqoslaydi. Agar uzatilayotgan yozuvning seriya raqami kattaroq bo'lsa, zonadagi ma'lumotlar "o'zgargan" deb hisoblanadi (qandaydir shaklda) va ikkilamchi daromadlar zonaning ma'lumotlarini haqiqiy uzatilishini talab qiladi. Agar ketma-ket raqamlar bir xil bo'lsa, zonadagi ma'lumotlar "o'zgarmagan" deb hisoblanadi va mijoz ma'lumotlar bazasining allaqachon mavjud bo'lgan nusxasidan foydalanishda davom etishi mumkin.

Ma'lumotlarni uzatishning haqiqiy jarayoni mijozga serverga TCP ulanishi orqali AXFR maxsus qiymati (qiymati 252) bilan so'rov yuborishi (opcode 0) tomonidan boshlanadi. Server "zonadagi" har bir domen nomi uchun barcha resurs yozuvlarini o'z ichiga olgan bir qator javob xabarlari bilan javob beradi. Birinchi javob zonaning tepaligi uchun SOA resurs yozuvlarini o'z ichiga oladi. Boshqa ma'lumotlar belgilangan tartibda kuzatilmaydi. Ma'lumotlarning oxiri server tomonidan zonaning tepaligi uchun SOA resurs yozuvlarini o'z ichiga olgan javobni takrorlaydigan signal beradi.

Ba'zi zonalarni uzatish mijozlari tizimning odatdagi DNS so'rovlarini echish mexanizmidan foydalangan holda preambulaning SOA qidiruvini amalga oshiradilar. Ushbu mijozlar haqiqiy ma'lumotlarni uzatishni amalga oshirishi kerakligini aniqlamaguncha serverga TCP ulanishini ochmaydi. Biroq, TCP oddiy DNS operatsiyalari uchun, shuningdek zonani uzatish uchun ishlatilishi mumkinligi sababli, boshqa zonani uzatish mijozlari, xuddi shu TCP ulanishi orqali SOA qidiruv preambulasini amalga oshiradilar, chunki ular haqiqiy ma'lumotlarni uzatishni amalga oshirishi mumkin. Ushbu mijozlar TCP ulanishini serverga ochilishidan oldin ochilishidan oldin ochishadi.

Oldingi zonani to'liq uzatishni tavsiflaydi. Qo'shimcha zonalarni ko'chirish to'liq zonalarni o'tkazishdan quyidagi jihatlar bilan farq qiladi:

Mijoz AXFR QTYPE o'rniga maxsus QTYPE IXFR (qiymat 251) dan foydalanadi.
Mijoz zona cho'qqisi uchun SOA resurs yozuvlarini yuboradi, agar u mavjud bo'lsa, IXFR xabarida, agar mavjud bo'lsa, serverga "zona" ning qaysi versiyasini joriy deb hisoblaydi.
Server odatdagi AXFR usulida zona uchun to'liq ma'lumotlar bilan javob berishi mumkin bo'lsa-da, buning o'rniga "qo'shimcha" ma'lumotlar uzatish bilan ham javob berishi mumkin. Bu ikkinchisiga mijoz serverga xabar bergan zonaning versiyasi va serverda mavjud bo'lgan zonaning versiyasi o'rtasida zonaning ketma-ket raqami tartibida zona ma'lumotlariga o'zgartirishlar ro'yxati kiritilgan. O'zgarishlar ikkita ro'yxatni o'z ichiga oladi, ulardan biri o'chirilgan resurs yozuvlaridan biri va kiritilgan yozuvlardan biri. (Resurs yozuvidagi modifikatsiya o'chirish, keyin esa qo'shish sifatida ifodalanadi.)

Mintaqaviy transfer butunlay mijoz tomonidan amalga oshiriladi. Garchi serverlar zona ma'lumotlariga o'zgartirish kiritilganda (ular haqida ma'lumot berilgan bo'lsa) NOTIFY xabarini yuborishlari mumkin, ammo zonalarni o'tkazishni rejalashtirish butunlay mijozlar nazorati ostida. Mijozlar zonani uzatishni dastlab, ularning ma'lumotlar bazalari bo'sh bo'lganda va keyinchalik ma'lum vaqt oralig'ida, mintaqa tepaligining SOA resurs yozuvidagi "yangilash", "qayta urinish" va "muddati tugash" maydonlaridagi qiymatlar bilan boshqariladigan tartibda amalga oshiradilar.

Cheklovlar

Garchi u standartlashtirilgan bo'lsa-da, to'liq zonani uzatish ma'lumotlar bazasini replikatsiya qilish mexanizmlaridan biri sifatida tavsiflanadi RFC 1034 va RFC 5936 (tavsiflangan bosqichma-bosqich zonani uzatish RFC 1995 yil ), zonani uzatish ushbu ma'lumotlar bazasini ko'paytirish mexanizmlarining eng cheklanganidir. Mintaqaviy transfer "shartlari asosida ishlaydi"simli format "resurs yozuvlari, ya'ni DNS protokoli yordamida uzatilganda resurs yozuvlari. Shu bilan birga, simli formatdagi resurs yozuvlari sxemasi tomonidan ishlatiladigan ma'lumotlar bazasi sxemasi bilan bir xil bo'lmasligi mumkin orqa uchlari DNS-serverlarning o'zi.

Operatsion muammolar

Seriya raqami o'zgaradi

Mintaqani uzatishning preambula qismi seriya raqamiga va faqat seriya raqami, zonaning ma'lumotlari o'zgarganligini yoki shu bilan haqiqiy ma'lumotlarni uzatish zarurligini aniqlash uchun. Ba'zi DNS server paketlari uchun SOA resurs yozuvlarining seriya raqamlari ma'murlar tomonidan qo'l bilan saqlanadi. Ma'lumotlar bazasiga har bir tahrir ikkita o'zgartirish kiritishni o'z ichiga oladi, biri yozuvni o'zgartiradi, ikkinchisi zonaning seriya raqamini o'zgartiradi. Jarayon aniqlikni talab qiladi: administrator seriya raqamini o'zgartirishni yoki noto'g'ri o'zgartirishni unutishi mumkin (kamaytiring). RFC 1912 (2.2-bo'lim SOA yozuvlari) YYYYMMDDnn qiymatini raqam sifatida ishlatishni tavsiya qiladi (YYYY = yil, MM = oy, DD = kun, nn = qayta ko'rib chiqish raqami). Bu 4294 yilgacha to'ldirilmaydi.

Ba'zi DNS-server paketlari ushbu muammoni diskdagi ma'lumotlar bazasi faylining oxirgi o'zgartirish vaqt tamg'asidan seriya raqamini avtomatik ravishda tuzish orqali bartaraf etishdi. Bu holat djbdns, masalan. Operatsion tizim ma'mur ma`lumotlar bazasi faylini tahrir qilganida modifikatsiyaning oxirgi tamg'asini yangilashni, seriya raqamini avtomatik ravishda yangilashni va shu bilan administratorlarni har bir o'zgarish uchun ikkita tahrir qilish zarurligini (ikki xil joyda) ozod qilishni ta'minlaydi.

Bundan tashqari, ketma-ket raqamni tekshirish (va haqiqatan ham zonani uzatishni o'zi) ishlab chiqilgan ma'lumotlar bazasini replikatsiya qilish paradigmasi, bu ma'lumotlar bazasining asosiy versiyasini boshqa barcha DNS-serverlar bilan saqlaydigan bitta markaziy DNS-serverni o'z ichiga oladi, shunchaki nusxalari mavjud ko'plab zamonaviy DNS-server paketlari. Kabi zamonaviy ma'lumotlar bazasiga ega zamonaviy DNS-server paketlari SQL serverlar va Faol katalog ma'murlarga ma'lumotlar bazasini bir nechta joylarda yangilashga ruxsat berish (bunday tizimlarda ishlaydi) ko'p masterli replikatsiya ), ma'lumotlar bazasining orqa uchida o'z replikatsiya mexanizmi bilan replikatsiya boshqa barcha serverlarga ishlaydi. Ushbu paradigma o'zgarishlarni qayd etish uchun yagona, markaziy, bir xildagi ko'payib borayotgan songa to'g'ri kelmaydi va shu sababli zonani o'tkazish bilan katta darajada mos kelmaydi. Ma'lumotlar bazasining orqa tomoni zamonaviy DNS-server paketlari ko'pincha "shim" seriya raqamini yaratadi, yangilanishlar qilinadigan bitta markaziy joy mavjudligini taqlid qiladi, ammo bu eng yaxshi darajada nomukammal.

Yaxshiyamki, bu va keyinchalik aytib o'tilgan bir nechta sabablarga ko'ra, bunday murakkab ma'lumotlar bazasini orqada ishlatadigan DNS-serverlar umuman kamdan-kam hollarda zonalarni uzatishni birinchi navbatda ma'lumotlar bazasini ko'paytirish mexanizmi sifatida ishlatishadi va odatda buning o'rniga juda yuqori taqsimlangan ma'lumotlar bazasini takrorlash mexanizmlarini ishlatadilar. o'zlari ta'minlaydilar.

Ketma-ket raqamlarni taqqoslash

Ketma-ket raqamlarni taqqoslash foydalanish uchun mo'ljallangan Ketma-ket raqamli arifmetik da belgilanganidek RFC 1982 yil. Biroq, bu aniq ko'rsatilmagan RFC 1034, natijada barcha mijozlar muqaddimada seriya raqamini tekshirishni bir xil tarzda amalga oshirmaydilar. Ba'zi mijozlar faqat server tomonidan taqdim etilgan seriya raqami mijoz tomonidan ma'lum bo'lgan raqamdan farq qilishi yoki nolga teng emasligini tekshirishadi. Boshqa mijozlar server tomonidan taqdim etilgan seriya raqami mijoz tomonidan ma'lum bo'lgan seriya raqamining ma'lum bir oralig'ida ekanligini tekshiradi. Shunga qaramay, boshqa mijozlar hali ham oxirgi tekshirishni amalga oshiradilar va qo'shimcha ravishda server tomonidan taqdim etilgan seriya raqami nolga teng emasligini tekshiradilar.

Bir nechta resurs yozuvlari

Dastlab, ma'lumotlarni uzatish jarayonida bitta domen nomi va turi bo'yicha har bir resurs yozuvlari to'plami serverdan mijozga alohida javob xabarida o'tkazildi. Biroq, bu samarasiz va ba'zi DNS-server dasturlari optimallashtirishni amalga oshirdilar, chunki DNS protokolidagi javobni siqish mexanizmiga ma'lumot uzatishning o'tkazuvchanlik talablarining umumiy hajmini kamaytirishga imkon berishga qaratilgan:

har qanday "yopishtiruvchi" manba yozuvlarini NS, SRV yoki MX yozuvlari to'plami bilan bir xil javobga kiritish uchun "qo'shimcha bo'limni qayta ishlash" ni bajarish.
bitta domen nomiga tegishli bo'lgan barcha resurslar to'plamini birgalikda to'plash va agar ular mos keladigan bo'lsa, bitta javobga yuborish

Ba'zi mijozlar kutish uchun yozilgan faqat asl javob shakli va agar bunday optimallashtirish ishlatilgan bo'lsa, ma'lumotlar uzatishni amalga oshira olmaydi. Shunday qilib, bir nechta DNS-server paketlarida ma'murlar talab qiladigan mijozlar uchun "bitta javob formati" javoblaridan foydalanishni belgilashga imkon beruvchi konfiguratsiya sozlamalari mavjud.

Ma'lumotlar ta'sir qilish

DNS zonasida joylashgan ma'lumotlar operatsion xavfsizlik jihatlaridan sezgir bo'lishi mumkin. Buning sababi shundaki, server xost nomlari kabi ma'lumotlar ommaviy ma'lumotga aylanishi mumkin, bu ma'lumotlardan tashkilot haqida ma'lumot topishda va hattoki kattaroq ma'lumotlarni taqdim etishda foydalanish mumkin. hujum yuzasi. 2017 yil iyun oyida Rossiyaning yuqori darajadagi domenlari uchun mas'ul ro'yxatga oluvchi AXFR orqali tasodifan DNS zonalarini uzatishni faollashtirdi, bu esa 5,6 million yozuvlarning tasodifiy fosh qilinishiga olib keldi.^[2]

2008 yilda AQShning Shimoliy Dakota shtati sudi jamoatchilikka ma'lum bo'lmagan ma'lumotni olish uchun ruxsatsiz begona shaxs sifatida zonani uzatishni amalga oshirishni Shimoliy Dakota qonunchiligini buzganlik deb topdi.^[3]

Shuningdek qarang

DNS yozish turlari ro'yxati

Adabiyotlar

^ Fujivara, Kazunori; Sallivan, Endryu; Xofman, Pol. "DNS terminologiyasi". tools.ietf.org. Olingan 2020-06-21.
^ "Noto'g'ri bog'lash konfiguratsiyasi Internetdagi Rossiya TLD-larining to'liq ro'yxatini ochib beradi". SecurityTrails blog. 2018-03-14. Olingan 2018-04-10.
^ "Xususiy tarmoqning DNS-yozuvlariga kirgani uchun spam-antivirusga jarima solindi". H. 2008 yil 18-yanvar.

"AXFR protokoli qanday ishlaydi". Internet nashr, D. J. Bernshteyn. Olingan 15 fevral, 2005.
"Zonalar va zonalar o'tkazilishini tushunish". Microsoft Windows Server 2003 mahsulot hujjatlari. Olingan 2011-11-27.
"Active Directory uchun DNS-quvvatlash qanday ishlaydi". Microsoft Windows Server 2003 mahsulot hujjatlari. Olingan 2011-11-27.
"Active Directory-da DNS zonasini takrorlash". Microsoft Windows Server 2003 mahsulot hujjatlari. Olingan 2011-11-27.
Makklur, Styuart; Scambray, Joel; Kurtz, Jorj (2009). Hacking fosh: Tarmoq xavfsizligi sirlari va echimlari (6-nashr). McGraw-Hill. ISBN 978-0-07-161374-3.

Tashqi havolalar

Xavfsizlik standartlari to'g'risidagi ma'lumotlar

Izohlar uchun tegishli so'rov

RFC 5936 DNS zonasini uzatish protokoli (AXFR-ni belgilaydi, yangilanishlar RFC 1034 Domen nomlari - tushuncha va imkoniyatlar, va RFC 1035 Domen nomlari - amalga oshirish va spetsifikatsiya)
RFC 1995 yil DNS-da zonani ko'paytirish
RFC 1996 yil Zonadagi o'zgarishlar to'g'risida tezkor xabar berish mexanizmi (DNS BILAN)
draft-ietf-dnsext-axfr-clarify DNS zonalarini uzatish protokoli (AXFR) Internet qoralamasi

[1] Fujivara, Kazunori; Sallivan, Endryu; Xofman, Pol. "DNS terminologiyasi". tools.ietf.org. Olingan 2020-06-21.

[2] "Noto'g'ri bog'lash konfiguratsiyasi Internetdagi Rossiya TLD-larining to'liq ro'yxatini ochib beradi". SecurityTrails blog. 2018-03-14. Olingan 2018-04-10.

[3] "Xususiy tarmoqning DNS-yozuvlariga kirgani uchun spam-antivirusga jarima solindi". H. 2008 yil 18-yanvar.

[1]

[2]

[3]