我正在研究與不安全的動態 DNS 更新帶來的風險相關的案例研究。假設配置了一個內部 DNS,其中混合了靜態和動態建立的位址。考慮 Windows AD 整合 DNS 環境。
我需要有關以下幾個問題的協助
- 同一主機的靜態和動態建立的 A 記錄是否可以共存 - 引用 DNS 伺服器上的不同 IP 位址? (例如,由網路上引入的具有相同主機名稱的新系統所建立的動態 A 記錄)
- 如果是的話,這種情況下 DNS 解析會如何進行? DNS 查詢能否解析到錯誤的動態 A 記錄而非靜態 A 記錄?
- 可以透過安全的動態 dns 配置而不是不安全的 ddns 更新來避免這種情況嗎?如果是這樣,安全 DDNS 如何防止這種情況發生。
關於此事的任何幫助都會非常有幫助。
提前致謝。
答案1
同一主機的靜態 A 記錄和動態建立的 A 記錄是否可以共存
一個名稱可以解析為多個IP位址,即有多個A或AAAA記錄。客戶端在查詢名稱時將獲得整套名稱。
IP 位址的配置方式與上述內容無關,但在「動態」情況下,通常更新實際上是替換,即:「在刪除所有現有 IP 位址後,請立即將 X 解析為位址 Y」為了它」。
所以這完全取決於你的動態東西是如何運作的。如果它是添加劑,那麼你可以混合使用。
如果是的話,這種情況下 DNS 解析會如何進行? DNS 查詢能否解析到錯誤的動態 A 記錄而非靜態 A 記錄?
如果有多筆A記錄,則全部傳回。客戶端無法知道它們來自哪裡(動態或靜態)。
可以透過安全的動態 dns 配置而不是不安全的 ddns 更新來避免這種情況嗎?如果是這樣,安全 DDNS 如何防止這種情況發生。
是的,並且僅使您的區域的子區域(而不是整個區域)開放動態更新。