Por curiosidade, estou verificando os pacotes DNS do Wireshark. Percebo que há uma consulta DNS do host e, em seguida, uma resposta DNS do servidor DNS. Tudo está como esperado.
No entanto, se você fizer um check-in adicional na consulta, poderá ver que o servidor também envia o NS (servidor de nomes autoritário). Minha pergunta é: por que?
Como host, eu só me importo com o IP. Esse é o ponto principal do DNS , para resolver um nome em um endereço IP .
Por que, como host, eu precisaria das informações do NS?
Respostas:
Tradicionalmente, os servidores de nomes não enviam uma resposta curta para uma consulta, mas uma resposta completa compatível com RFC 1034 - 1035, que inclui a seção de autoridade que contém Registros de Recursos que apontam para o (s) servidor (es) de nome autoritativo (s).
O motivo é provavelmente porque, com a natureza distribuída e delegada do DNS, parecia uma boa idéia na época incluir a "fonte da verdade" nas respostas.
Edit: A propósito: o envio da seção de autoridade é compatível com RFC, mas não obrigatório para todas as respostas da consulta.
No BIND, esse comportamento pode ser ajustado com a
minimal-responses yes | no;
diretiva, onde o padrão éno
e as seções Autoridade e Adicional da resposta da consulta sempre serão totalmente preenchidas.Outros servidores de nomes CloudFlare, AWS Route 53, Infoblocks e provavelmente outros já enviarão sempre essas respostas mínimas por padrão. Os resolvedores públicos do Google retornarão uma seção de autoridade quando disponível, o Cloudflare.
Eu acho que a origem dessa tradição para incluir tanto a seção de autoridade quanto a resposta de consulta real encontra sua raiz no código (pseudo) do agora obsoleto RFC882 página 15-16
fonte
O servidor não sabe se a solicitação é proveniente de um cliente final ou é uma solicitação recursiva de outro servidor de nomes. Se for outro servidor de nomes, ele pode armazenar em cache a Seção de Autoridade e consultar esses servidores de nomes diretamente no futuro.
Acredito que essa foi a justificativa original do protocolo, mas tem implicações de segurança. Uma resposta pode incluir uma Seção de autoridade que lista servidores de nomes falsos, e isso foi usado em ataques de envenenamento de cache. Portanto, os servidores de nomes geralmente não armazenam em cache os registros NS, a menos que sejam registros de delegação para um subdomínio do domínio que você está consultando.
fonte
forwarders
recurso é usado.