Mecanismos de extensión para DNS

Ir a: navegación, búsqueda de
"EDNS" vuelve a dirigir aquí. Para el sistema alternativo de raíz, consulte eDNS (raíz DNS alternativo).

Mecanismos de extensión para DNS (EDNS) es una especificación para ampliar el tamaño de varios parámetros de la Sistema de nombres de dominio Protocolo (DNS) que tenía restricciones de tamaño que el Internet comunidad de ingeniería considera demasiado limitada para aumentar la funcionalidad del protocolo. El primer conjunto de extensiones fue publicado en 1999 por la Internet Engineering Task Force como RFC 2671, también conocido como EDNS0.[1]

Contenido

  • 1 Motivación
  • 2 Mecanismo
  • 3 Ejemplo
  • 4 Aplicaciones
  • 5 Temas
  • 6 Referencias

Motivación

El Sistema de nombres de dominio fue desarrollada en la década de 1980, desde el cual se ha mejorado progresivamente con nuevas características, manteniendo la compatibilidad con versiones anteriores del protocolo.

Las restricciones de tamaño de varios campos de banderas, devolver los códigos y tipos de etiquetas disponibles en el protocolo DNS básico no eran suficientes para apoyar algunas de las características deseables. Además, realiza los mensajes DNS UDP se limita a 512 bytes, no teniendo en cuenta la Protocolo de Internet (IP) y capa de transporte cabeceras.[2] Recurriendo a un transporte de circuito virtual, utilizando la Transmission Control Protocol (TCP), podría aumentar enormemente arriba. Esto presenta un gran obstáculo para añadir nuevas características a DNS. En 1999, Paul Vixie propuso extender DNS para permitir nuevas banderas y los códigos de respuesta y para prestar apoyo a las respuestas más en un marco que sea compatible con las implementaciones anteriores.

Mecanismo

Puesto que no hay nuevas banderas podrían ser añadidos en el encabezado DNS, EDNS agrega información a los mensajes de DNS en forma de pseudo-resource-records incluido en la sección "información adicional" de un mensaje DNS. Tenga en cuenta que esta sección existe en tanto solicitudes y respuestas.

El pseudo-RR EDNS introduce para esto son de tipo OPT.

Como pseudo-RRs, OPT tipo RR nunca aparecen en cualquier archivo de zona; Existen sólo en los mensajes, fabricados por los participantes DNS.

El mecanismo es compatible con versiones anteriores, porque mayor respuesta DNS ignora cualquier RR de tipo desconocido OPT en una solicitud y un respondedor DNS nuevo nunca incluye un OPT en una respuesta a menos que haya uno en la solicitud. La presencia de los territorios palestinos ocupados en la solicitud significa a un nuevo solicitante que sabe qué hacer con un OPT en la respuesta.

El registro de pseudo OPT ofrece espacio para hasta 16 banderas y amplía el espacio para el código de respuesta. El tamaño total de la Paquete UDP y el número de versión (en el actual 0) figuran en el registro OPT. Para obtener información adicional de estar registrado en futuras versiones del protocolo permite que un campo de datos de longitud variable. El protocolo DNS original proporciona dos tipos de etiquetas, que son definidos por los dos primeros bits en DNS paquetes (RFC 1035): 00 (etiqueta estándar) y 11 (etiqueta comprimida). EDNS introduce el tipo de etiqueta 01 como etiqueta extendida. Los 6 bits más bajos del primer byte puede usarse para definir hasta 63 nuevas etiquetas extendidas.

Ejemplo

Un ejemplo de un registro OPT pseudo, como se muestra por la Dominio información Groper (empuje) herramienta para uso general:

;; OPC PSEUDOSECTION:; EDNS: versión: 0, banderas: hacer; UDP: 4096

El resultado de "EDNS: versión: 0" indica conformidad completa con EDNS0.[3] El resultado "banderas: hacer" indica que se encuentra "DNSSEC OK".[4]

Aplicaciones

Es esencial para la implementación de DNS Security Extensions (EDNSDNSSEC).[5]

Temas

En la práctica, las dificultades pueden surgir cuando usando EDNS atravesar cortafuegos, ya que algunos firewalls asuman una longitud máxima de mensaje DNS de 512 bytes y bloquean los paquetes DNS más.

La introducción del EDNS hizo un tipo de Refleja los ataques de denegación de servicio llamado Amplificación de DNS es factible, desde EDNS facilita los paquetes de respuesta muy grande en comparación con los paquetes de solicitud relativamente pequeño.

El grupo de trabajo IETF DNS Extensions (dnsext) ha terminado de trabajar en un refinamiento de EDNS0, que ha sido publicado como RFC 6891.

Referencias

  1. ^ RFC 2671, Mecanismos de extensión para DNS (EDNS0), P. Vixie, la Internet Society (agosto de 1999)
  2. ^ RFC 1035, Nombres de dominio - implementación y especificación, P. Mockapetris (noviembre de 1987)
  3. ^ Red de grupo de trabajo de la IETF, agosto de 1999, RFC 2671:: Mecanismos extensión para DNS (EDNS0), página 3, completa conformidad con esta especificación está indicado por la versión "0".
  4. ^ Red de grupo de trabajo de la IETF, diciembre de 2001, RFC 3225:: Resolución apoyo de DNSSEC, página 3, el mecanismo elegido para la notificación expresa de la capacidad del cliente para aceptar (si no entiendes) seguridad DNSSEC RRs indicando que está usando el bit más significativo del campo Z de la cabecera de EDNS0 optar en la consulta. Esta parte se conoce como el "DNSSEC OK" (hacer) un poco.
  5. ^ RFC 4035, Protocolo modificaciones para las extensiones de seguridad DNS, R. Arends, Telematica Instituut, 2005. Sección 4.1 EDNS apoyo

Otras Páginas

Obtenido de"https://en.copro.org/w/index.php?title=Extension_mechanisms_for_DNS&oldid=639403216"