Подсеть клиентов EDNS (ECS): Могу ли я получать IP-адреса клиентов по умолчанию?

Подсеть клиентов EDNS (ECS): Могу ли я получать IP-адреса клиентов по умолчанию?

Я настраиваю службу Bind версии 9.9.5 как полномочный сервер. Я хотел бы знать, получаю ли я запросы EDNS Client Subnet (ECS), которые включают IPS клиентов по умолчанию. Я знаю, что могу настроить его для ответа на определенные префиксы (например,этот), но я не уверен, проверяет ли DNS-сервер upstream, что мой NS может обработать или нет, перед отправкой IP-адресов/подсети клиентов. Есть ли что-то вроде включения ECS на сервере Bind для получения такого трафика?

решение1

Как написано на той самой странице, на которую вы ссылаетесь:

Опция клиентской подсети EDNS (ECS) используется рекурсивным распознавателем для информирования авторитетного сервера имен о блоке сетевых адресов, с которого был получен исходный запрос, что позволяет авторитетным серверам давать разные ответы одному и тому же распознавателю для разных клиентов распознавателя.

Говоря иначе, рекурсивный резолвер просто добавляет эту опцию к своим запросам, даже при первом сообщении данному серверу имен, так что даже до того, как он узнает, что с ним произойдет. Следовательно, авторитетные серверы имен не имеют возможности заранее сообщить об этом.

Но когда авторитетный сервер имен отвечает (см. раздел 7.2.1 RFC7871), он может в основном сигнализировать, какие префиксы он использовал. И затем для будущих запросов рекурсивный сервер имен может адаптироваться и отправить другой префикс, как объясняется в спецификации:

Значение SCOPE PREFIX-LENGTH больше, чем SOURCE PREFIX-LENGTH, указывает на то, что указанная длина префикса не была достаточно конкретной для выбора наиболее подходящего Tailored Response. Будущие запросы для имени в указанной сети ДОЛЖНЫ использовать более длинное значение SCOPE PREFIX-LENGTH. Факторы, влияющие на то, будет ли Recursive Resolver использовать более длинную длину, включают объем маскировки конфиденциальности, которую оператор хочет предоставить своим пользователям, и дополнительные затраты ресурсов на кэш.

Наоборот, более короткий SCOPE PREFIX-LENGTH указывает на то, что было предоставлено больше бит, чем необходимо, и ответ подходит для более широкого диапазона адресов. Это может быть всего 0, чтобы указать, что ответ подходит для всех адресов в FAMILY.

Несмотря на все это, авторитетные серверы имен не могут заставить рекурсивные серверы отправлять определенный префикс ECS или даже опцию вообще, это все равно только опция, контролируемая рекурсивными серверами имен.

Связанный контент