DNS - NSLOOKUP qual é o significado da resposta não autoritativa?

117

Para alguns domínios, nslookupme dá uma Non-authoritative answerseção. O que isto significa?

Got answer:
    HEADER:
        opcode = QUERY, id = 3, rcode = NXDOMAIN
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 1,  additional =

    QUESTIONS:
        www.ssss.com.SME, type = AAAA, class = IN
    AUTHORITY RECORDS:
    ->  (root)
        ttl = 1787 (29 mins 47 secs)
        primary name server = a.root-servers.net
        responsible mail addr = nstld.verisign-grs.com

------------
Non-authoritative answer:
------------

------------
Name:    example.com
Address:  93.184.216.34
Aliases:  www.example.com
user1179459
fonte
14
www.xxx.com não é realmente um exemplo de nome de domínio haha;) ... A RFC sugere que você use example.com. consulte iana.org/domains/reserved
Mzn 15/09/2015

Respostas:

99

Basicamente, é o que o nome diz que é. Uma resposta autoritativa vem de um servidor de nomes considerado autoritativo para o domínio para o qual ele está retornando um registro (um dos servidores de nomes na lista do domínio em que você fez uma pesquisa) e uma resposta não autoritativa vem de qualquer outro lugar (um servidor de nomes que não está na lista do domínio em que você fez uma pesquisa).

É basicamente uma distinção entre um servidor de nomes que é um servidor de nomes oficial para o domínio que você está consultando e um servidor de nomes que não é. Servidores de nomes que não são autoritários estão recebendo suas respostas em segunda (ou terceira ou quarta ...) mão - apenas transmitindo as informações de outro lugar.

Então, por exemplo, se eu fizesse uma pesquisa maps.google.comagora, obteria uma resposta de um dos meus servidores de nomes configurados. (Do meu ISP ou do meu domínio.) Ele voltaria como não autoritativo, porque nem os servidores de nomes do meu ISP nem os meus estão na lista de servidores de nomes para google.com. Eles não são servidores de nomes do Google, portanto não são a fonte autorizada que cria os registros NS.

A lista de servidores de nomes autorizados do Google está abaixo (em whois.internic.net).

Nome de domínio: GOOGLE.COM

Secretário: MARKMONITOR INC.

Servidor Whois: whois.markmonitor.com

Servidor de nomes: NS1.GOOGLE.COM

Servidor de nomes: NS2.GOOGLE.COM

Servidor de nomes: NS3.GOOGLE.COM

Servidor de nomes: NS4.GOOGLE.COM

Data de atualização: 20 de julho de 2011

Data de criação: 15 de setembro de 1997

Data de validade: 14-set-2020

Se eu alterasse meu servidor DNS configurado para um dos listados nessa lista e, em seguida, fizesse uma nslookupcontra maps.google.com, eu receberia uma resposta oficial. Esses servidores são a autoridade (ou fonte) para o que são nomes válidos nos domínios do Google e o que não são. Todos os outros servidores de nomes, servidores de nomes sem autoridade, obtêm seus registros NS dos servidores autoritários em algum ponto da linha.

HopelessN00b
fonte
35

A resposta que você recebeu é essencialmente uma resposta em cache ou encaminhada do servidor DNS local. Basicamente, um servidor de nomes não autoritativo é aquele que não contém os registros da zona que está sendo consultada; seu DNS local provavelmente não terá os registros de nome do Google, por exemplo.

Você pode obter os servidores de nomes com autoridade para um determinado domínio executando host -t ns example.coma recuperação do registro NS para example.com.

No caso do Google, vemos:

$ host -t ns google.com
google.com name server ns4.google.com.
google.com name server ns1.google.com.
google.com name server ns2.google.com.
google.com name server ns3.google.com.

Se você executar seu nslookupcomando posteriormente em um desses servidores, receberá a resposta oficial:

$ nslookup www.google.com ns1.google.com
Server:         ns1.google.com
Address:        216.239.32.10#53

www.google.com  canonical name = www.l.google.com.
Name:   www.l.google.com
Address: 173.194.43.49
Name:   www.l.google.com
Address: 173.194.43.50
Name:   www.l.google.com
Address: 173.194.43.48
Name:   www.l.google.com
Address: 173.194.43.52
Name:   www.l.google.com
Address: 173.194.43.51

Se você estiver usando nslookup, para obter o tipo de registro NS, poderá executar algo assim no modo interativo:

$ nslookup
> set querytype=ns
> google.com
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
google.com      nameserver = ns3.google.com.
google.com      nameserver = ns4.google.com.
google.com      nameserver = ns1.google.com.
google.com      nameserver = ns2.google.com.

Authoritative answers can be found from:
ns1.google.com  internet address = 216.239.32.10

Portanto, a configuração querytype=nsfaz o que o hostcomando acima fez.

cjc
fonte
apenas curioso ... o que #significa Address: 127.0.0.1#53?
cwhsu
Adivinhe por causa da porta de escuta, certo? Como o que é dito aqui nlp.stanford.edu/IR-book/html/htmledition/dns-resolution-1.html
cwhsu
24

Resposta não autoritativa significa simplesmente que a resposta não é buscada no servidor DNS autoritativo para o nome de domínio consultado.

Primeiro você precisa entender como o sistema DNS funciona. O sistema DNS pode ser dividido em três camadas. Eles são:

  • servidores DNS raiz
  • servidores DNS de domínio de nível superior
  • servidores DNS autoritativos

Há outra classe de servidor DNS normalmente chamada servidor DNS local cujo endereço IP é especificado no seu sistema operacional.

Quando o navegador se conecta a um site, por exemplo, example.com, ele primeiro consulta o servidor DNS local para obter o endereço IP de exemplo.com.

  • Se o servidor DNS local não tiver o registro A de example.com, ele consultará um dos servidores DNS raiz.

  • O servidor DNS raiz diz: Eu não tenho o registro A, mas conheço o servidor DNS de domínio de nível superior responsável pelos domínios .com.

  • Em seguida, o servidor DNS local consulta o servidor DNS de domínio de nível superior responsável pelos domínios .com. O servidor DNS do TLD responderá: também não sei, mas sei qual servidor DNS é autoritário para example.com.

  • Portanto, seu servidor DNS local consulta o servidor DNS autoritativo. Como o registro DNS real é armazenado nesse servidor DNS autoritativo, ele fornece uma resposta ao servidor DNS local.

Em seguida, esse resultado da consulta é armazenado em cache no servidor DNS local, mas pode estar desatualizado. Quando o tempo TTL expirar, o servidor DNS local atualizará o resultado da consulta do servidor DNS autoritário. Sempre que você consulta um registro DNS no servidor DNS local, ele retorna uma resposta não autorizada (não oficial). Se você deseja uma resposta autorizada, especifique explicitamente o servidor DNS autoritativo ao usar o nslookup ou outros utilitários. Eu acho que um servidor DNS local deve ser chamado de servidor DNS de cache.

Quando alguém registra um nome de domínio, ele pode especificar qual servidor DNS é o servidor DNS autoritativo. Essa informação é chamada de registro NS. O registro NS informa ao servidor DNS de domínio de nível superior qual servidor de nomes mantém o registro A do domínio, o registro MX etc.

LinuxBabe
fonte
4
Isso explicou muito mais do que todas as outras respostas combinadas. Explicar a topologia de como o DNS funciona é extremamente útil para fornecer contexto para esse problema.
Levi Roberts
1

Do Wireshark Lab: DNS v6.01 :However, nslookup also indicates that the answer is “non-authoritative,” meaning that this answer came from the cache of some server rather than from an authoritative MIT DNS server

TheLogicGuy
fonte