我使用 Route53 作為 DNS,並希望防止對不受信任的網域使用 CNAME 記錄。
例如,我有三個網域:
master.comtest1.comtest2.com
master.com有A記錄:
test1.com是一個CNAME到master.comtest2.com是一個CNAME到master.com
我想保護master.com並防止為其他網域建立 CNAME(除了test1.com和test2.com)
我怎樣才能做到這一點?
答案1
DNS 不支援此功能。您使用哪個 DNS 提供者並不重要,因為建立 CNAME 記錄完全在「來源」網域中完成,根本不聯絡「目標」。這樣一個網域就可以發布任何DNS 記錄與任何數據。
在處理 HTTP(S)、TLS-SNI 和其他支援虛擬主機的協定時,您唯一能做的就是確保您的伺服器拒絕所有未知虛擬主機的請求。
答案2
您無法阻止某人建立指向您的網域的 CNAME 記錄,就像您無法阻止某人告訴他們的朋友撥打您的電話號碼一樣。
CNAME 記錄就像在答錄機上留下錄音,告訴您撥打不同的號碼。例如,您撥打 555-1111,訊息顯示:「致電 555-2222」。同樣, 的 CNAME 記錄www.example.com可以指向www.yourdomain.com.當 DNS 用戶端查找www.example.com並遇到 CNAME 記錄時,它會重新啟動 DNS 查找過程......就像它一開始www.yourdomain.com就嘗試查找一樣。www.yourdomain.com
由於您無法控制建立 CNAME 記錄的網域,且您無法區分源自 CNAME 記錄的網域記錄查找與本機查找,因此您無法封鎖 CNAME 記錄指向您,就像您無法封鎖 CNAME 記錄指向您一樣。人在自己的答錄機上留言,告訴來電者撥打您的號碼。