%EF%BC%9A%E6%88%91%E5%8F%AF%E4%BB%A5%E9%A0%90%E8%A8%AD%E6%8E%A5%E6%94%B6%E5%AE%A2%E6%88%B6%E7%AB%AF%20IP%20%E5%97%8E%EF%BC%9F.png)
我正在將 Bind 服務版本 9.9.5 設定為僅權威伺服器。我想知道我是否收到預設包含客戶端 IPS 的 EDNS 客戶端子網 (ECS) 查詢。我知道我可以將其配置為響應特定的前綴(例如這),但我不確定上游 DNS 在發送客戶端 IP/子網路之前是否先檢查我的 NS 是否可以處理。有什麼辦法可以讓Bind伺服器上的ECS接收這樣的流量嗎?
答案1
正如您引用的自己的頁面中所寫:
遞歸解析器使用 EDNS 用戶端子網 (ECS) 選項向權威名稱伺服器通知接收原始查詢的網路位址區塊,使權威伺服器能夠針對不同解析器用戶端向相同解析器提供不同的答案。
換句話說,遞歸解析器只是將該選項添加到其查詢中,即使在向給定名稱伺服器發送第一條訊息時,甚至在知道會發生什麼之前也是如此。因此,權威網域名稱伺服器無法提前發出訊號。
但是當權威名稱伺服器回應時(參見 RFC7871 的第 7.2.1 節),它基本上可以發出它使用的前綴的信號。然後,對於將來的查詢,遞歸名稱伺服器可以調整自身並發送不同的前綴,如規範中所述:
範圍前綴長度值比來源前綴長度長表示提供的前綴長度不夠具體,無法選擇最合適的客製化回應。未來對指定網路內的名稱的查詢應該使用更長的範圍前綴長度。影響遞歸解析器是否使用較長長度的因素包括業者希望為其使用者提供的隱私屏蔽量,以及快取的額外資源影響。
相反,較短的 SCOPE PREFIX-LENGTH 表示提供了比所需更多的位,答案適用於更廣泛的位址範圍。該值可以短至 0,以表示答案適用於 FAMILY 中的所有位址。
即使如此,權威名稱伺服器也不能強制遞歸名稱伺服器發送特定的 ECS 前綴甚至選項,它仍然只能由遞歸名稱伺服器控制。