Co się stanie, gdy ktoś uzyska dostęp do Twojej kontroli DNS i ustawi TTL na 100 lat w Twojej domenie, wskazując jej adres IP na nieznaną stronę?
(i odkrywasz to oczywiście za późno)
Co się stanie, gdy ktoś uzyska dostęp do Twojej kontroli DNS i ustawi TTL na 100 lat w Twojej domenie, wskazując jej adres IP na nieznaną stronę?
(i odkrywasz to oczywiście za późno)
Odpowiedzi:
Ryan zapewnił doskonałą odpowiedź na jedną interpretację twojego pytania. Biorąc jednak pod uwagę naszą grupę docelową i sytuację osób, które najprawdopodobniej natkną się na pytanie, odpowiem na inną.
Masz tutaj kilka opcji. Przede wszystkim jednak musisz zidentyfikować wektor problemu i go wyeliminować. Próba powstrzymania szkód jest bezcelowa, gdy nie masz kontroli nad powtarzającym się problemem.
Cóż, przede wszystkim instrukcja konfiguracji Bind Patrzę na stany, że TTL jest 32-bitową liczbą całkowitą ze znakiem, wyrażoną w sekundach, co daje teoretyczne maksimum 2 ^ 31. To mówi
Prawidłowe wartości TTL mieszczą się w zakresie 0–2147483647 sekund.
Lub około 68 lat. Prawdopodobnie więc nie możesz ustawić go na 100 lat.
Powiedzmy, że ustawiłeś na 68 lat. Jest całkiem jasne, co by się stało. Rozwiązania DNS, które przestrzegały wyjątkowo długiego czasu TTL w twoich rekordach DNS, buforowałyby je tak długo, jak mogłyby. Niektóre programy tłumaczące DNS w ogóle nie respektują TTL i po prostu wdrażają własne zasady buforowania, jak chcą.
Powodem, dla którego nie możemy podać pojedynczej liczby maksymalnej, jest to, że istnieje wiele różnych implementacji DNS tworzonych przez wielu różnych dostawców i wszyscy używają nieco innych zmiennych. Na przykład serwer DNS działający w systemie Juniper JunOS będzie trwał do 604800 sekund lub 7 dni w TTL.
max-cache-ttl
: „Ustawia maksymalny czas, przez który serwer będzie buforował zwykłe (pozytywne) odpowiedzi. Domyślnie jest to tydzień (7 dni).”