레이블에 https : //가있는 DNS A 레코드


19

최근에 처음으로 다음 형식의 A 레코드가 발생했습니다.

https://www.example.com.    <TTL>   IN  A   <IP address>

내가 아는 한이 레코드는 의도적입니다 (즉, 오류가 아님). RFC 2181에 따라 콜론과 슬래시가 레이블에 유효한 문자라는 것을 알고 있지만 레코드의 목적을 이해하지 못합니다. 일부 인증 기관은이 양식을 도메인 제어 유효성 검사에 사용합니까? 이 형식은 어떤 유형의 악용으로부터 보호됩니까? 소프트웨어에 어떤 종류의 사용자 오류나 알려진 문제가 있습니까?


1
www.example.com과 일치하는 IP 주소가 다른가요? 이것이 고의적이고 오류가 아니라고 생각하는 이유는 무엇입니까?
jcaron

내가이 A 레코드를 잘못 구성하지 않았다고 생각하는 이유는 이러한 레코드를 관리하는 조직이 온라인 상태가 큰 주요 회사이기 때문에 DNS 레코드에 대한 철저한 조사가 필요하기 때문입니다. 그러나 나는이 A 레코드가 오류라고 완전히 믿습니다. 나는이 문제에 대해 더 깊이 파헤 치지 말고 기록 이유를 결정하면 업데이트를 게시 할 것입니다.
Binky

Farsight DNSDB 계정이나 유사한 서비스를 가진 사람이 있고 "https : //"가있는 다른 A 레코드에 대한 전체 DNS 공간을 쿼리하려는 경우 정말 멋집니다. :)
Binky

에 대한 A 레코드의 IP 주소 매핑이에 대한 IP 주소 매핑과 https://www.example.com다릅니다 www.example.com. 전자는 ARIN whois 당 "example.com"이 소유 한 / 16 넷 블록의 주소 (여러 A 레코드)에 매핑됩니다. 후자는 주요 CDN 제공자의 도메인에있는 CNAME에 맵핑됩니다. CNAME 체인은 궁극적으로 CDN 제공 업체 네트워크의 IP 주소에 매핑됩니다
Binky

@ Binky : 그것이 잘못 구성되지 않았다고 의심하는 좋은 이유 는 아닙니다 . 주요 기업의 무능은 매우 일반적입니다.
R ..

답변:


51

가장 익숙한 설명은 DNS에 익숙하지 않은 사용자가 DNS 레코드를 구성하려고 시도했지만 DNS에 익숙한 사람에게는 눈에 띄지 않지만 모르는 사람에게는 잘못되었다는 실수입니다.

DNS 레이블은 일반적으로 임의의 이진 데이터 일 수 있지만 나머지 11 절을 읽어야합니다.

그러나 DNS 데이터를 사용하는 다양한 응용 프로그램에는 해당 환경에서 허용되는 특정 값에 대한 제한이있을 수 있습니다. 예를 들어 이진 레이블에 MX 레코드가있을 수 있다고해서 이진 이름을 전자 메일 주소의 호스트 부분으로 사용할 수있는 것은 아닙니다. DNS 클라이언트는 DNS 조회 요청의 키로 사용하는 값과 DNS가 반환 한 값에 대해 환경에 적절한 제한을 둘 수 있습니다. 클라이언트에 그러한 제한이있는 경우, 해당 데이터를 사용하기 전에 DNS에서 데이터를 준수하는지 확인하기 위해 전적으로 DNS의 데이터를 검증해야합니다.

무엇보다도 이는 레이블 구문이 RR 유형에 따라 제한 될 수 있음을 의미합니다. RFC 1123 섹션 2.1 및 RFC 952에 지정된대로 인터넷 호스트 이름에는 콜론과 슬래시가 유효하지 않은 제한적인 구문이 있습니다.


1

표준 주소에는 문제가 있지만 DNS를 대역 외 통신 장치로 사용하는 사람 일 수 있습니다.

'정상적인'채널 대신 DNS를 통해 데이터를 전달해야한다고 상상하기 어렵지 않습니다.


1
계속해서 우리를 상상할 수 있습니까? 이 답변은 실제로 무슨 일이 일어나고 있는지 말하지는 않습니다-응답자가 논리적이라고 생각합니다.
Saiboogu

1
대역 외 통신 장치로 DNS를 사용하는 사람 일 수 있습니다. @ djsmiley2k이 A 레코드를 관리하는 조직이 상당한 보안 / 규정 준수 요구 사항을 가진 회사이기 때문에 원래 게시물에서이 가능성에 대해 언급하지 않았습니다. 이러한 레코드가 대역 외 액세스 메커니즘이 될 가능성은 크지 않으며 레코드가 OOB 핵이라면 그 영향은 무섭습니다.
Binky

@Blinky는 충분히 공정하지만,이 경우에는 가능성이 없지만 다른 사람들에게는 가능성이 있습니다.
djsmiley2k-CoW

이것은 가능한 일이지만 DNS 측 채널은 일반적으로 호스트 이름 자체가 아닌 TXT 레코드의 텍스트로 수행됩니다. 또한 "https : //"는 암호화 된 텍스트가 아니라 오류처럼 보입니다.
Criggie
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.