È possibile impedire / limitare il caching dei record DNSSec?

2

Sto guardando il servizio SmartCache di OpenDNS in cui memorizza nella cache risposte autorevoli.

Dal punto di vista del cliente, c'è un modo per utilizzare un risolutore DNS ricorsivo per determinare se il record è memorizzato nella cache, e in caso affermativo per quanto tempo?

Dal punto di vista del server, c'è un modo per impedire la riproduzione dei dati DNSSec? (al di fuori della scadenza della chiave)

    
posta random65537 20.09.2016 - 17:41
fonte

2 risposte

1

Come cliente

Non penso che ci sia un modo per controllare lo stato della cache di un record su un resolver DNS. Se sei davvero preoccupato che il record sia memorizzato nella cache, puoi interrogare direttamente il server dei nomi autorevole.

Come risolutore

Come risolutore puoi scegliere di mettere in cache (o meno la cache) quello che vuoi, ma non ti consiglio di fare scherzi con questo. Il server autorevole ha richiesto il tempo di cache con il loro TTL e ti consiglio di rispettarlo. Il caching è molto importante in DNS per distribuire il carico sulla rete.

Come un server dei nomi autorevole

Come server dei nomi autorevole puoi usare il tuo TTL per richiedere che i resolver memorizzino nella cache il tuo record per un certo periodo di tempo (che puoi impostare molto basso per quasi la scadenza immediata). Tuttavia, sfortunatamente, i risolutori a volte scelgono di non ascoltare i TTL.

    
risposta data 27.09.2016 - 18:56
fonte
0

Quando si interroga un server DNS e si ottengono record, ognuno è associato a un TTL. Se esegui più volte la stessa query, vedrai che:

  • se interroghi un server dei nomi autorevole, il TTL sarà sempre lo stesso
  • ma se si interroga un server dei nomi ricorsivo il TTL diminuirà ogni volta (è un numero di secondi); ci si aspetta che il server dei nomi ricorsivo segua prima il TTL dato dal relativo server dei nomi autoritativo per il record interrogato e quindi mentre mantiene la risposta nel loro caso, diminuisce il TTL nel tempo; alcuni nameserver ricorsivi fanno comunque schifo con questo forzando un valore TTL minimo e / o massimo, indipendentemente da ciò che è al nameserver autorevole. Quindi in questo caso il TTL ti farà sapere per quanto tempo rimarrà memorizzato nella cache e se interroghi il nameserver autoritativo per il proprio TTL, la differenza sarebbe la durata del record nella cache ricorsiva.

Per quanto riguarda la tua altra domanda, non sono sicuro di capire, su due livelli. Innanzitutto, perché vuoi filtrare la data DNSSEC? Quindi, quando dici server stai parlando di uno ricorsivo o di un server che fa query DNS?

    
risposta data 28.06.2017 - 21:50
fonte

Leggi altre domande sui tag