有个dns功能咨询

timon

是啊 我就是提供 cache 递归解析...

第二点需求是可以得把

[ 本帖最后由 timon 于 2006-4-25 11:26 编辑 ]

timon

原帖由 diancn 于 2006-4-25 11:19 发表


以前的讨论仅限于你的服务器作为某个域的权威服务器时成立。

如果你不是权威服务器，别人的请求不会到你的服务器上来。
如果你为一批用户做递归解析，又对不属于你的域名进行修改，可能就是域名劫持了。

BTW 这样的话 我要完成劫持不存在地域名的回应 有什么建议来做吗?

不知道dns server在递归以后 怎么判断没有这个域名记录 ，最后对client的回应是由cache这级dns来做的吧，那么有没有可能 像修改web 404页面那种手段来插入一个定制的回应信息呢 。。。

有人有建议吗？

diancn

2、依据特定client ip地址段 把所有dns请求的回应都给成一个自己定义的IP回去

原帖由 timon 于 2006-4-25 11:22 发表
是啊 我就是提供 cache 递归解析...

第二点需求是可以得把

这个可以做，设置对特定client ip地址段起作用的view。在这个view中做所有TLD的权威域（当然是没有授权的，在引入DNSSEC等安全机制后会失效）。然后在每个域使用通配记录。

diancn

原帖由 timon 于 2006-4-25 11:36 发表


BTW 这样的话 我要完成劫持不存在地域名的回应 有什么建议来做吗?

不知道dns server在递归以后 怎么判断没有这个域名记录 ，最后对client的回应是由cache这级dns来做的吧，那么有没有可能 像修改web 404页 ...

有人向你问路，本来不存在他要去地方，但你给指向了路边你家开的小卖店、网吧、洗浴中心、...
这是很危险的。无论对问路的人还是对你自己。

timon

原帖由 diancn 于 2006-4-25 11:48 发表


有人向你问路，本来不存在他要去地方，但你给指向了路边你家开的小卖店、网吧、洗浴中心、...
这是很危险的。无论对问路的人还是对你自己。

嗯... 我觉得站在ISP立场上
这样做 对用户判断来说还是有好处的
首先他会知道 这个域名不存在，然后他会知道网还是可以上的，然后他就不会在打电话骚扰我们call center说“网断了”

然后还是有些其他好处的...  “你要买的东西没有，那我给你个建议 看看这个好不好？” 嘿嘿

其实这样做不是你想的那么不好的

最关键的问题： 这样做bind支持不支持呢？

[ 本帖最后由 timon 于 2006-4-25 12:13 编辑 ]

ailms

原帖由 timon 于 2006-4-25 12:12 发表


嗯... 我觉得站在ISP立场上
这样做 对用户判断来说还是有好处的
首先他会知道 这个域名不存在，然后他会知道网还是可以上的，然后他就不会在打电话骚扰我们call center说“网断了”

然后还是有些其他好 ...

这样的问题已经超过了技术的范围，而且也属于无赖行为

timon

原帖由 ailms 于 2006-4-25 12:56 发表


这样的问题已经超过了技术的范围，而且也属于无赖行为

什么？ 你怎么定义无赖的？ 换位思考好不好？

首先，技术存在的目的是为了应用和需求服务。 那么分析需求，讨论该需求可行性是必然不可或缺的。

你所指所谓技术的范围太狭隘了。 大家都这么想OO UML 产生的意义是什么？

那么RFC也不会叫“R F C”了，随便几个庄稼自己说：这是技术领域的专业人士看法 就OK~

应用为主阿 这位熊弟～ 没有需求哪来应用～～  

别老动不动无赖无赖的，尊重别人——那怕是所谓“不◎懂◎技◎术”的人，是一个高尚社会的基础。

开放自由的精神就是在最大范围人群的讨论过程中 得出为大家认可的结论。



如果你认可我的上述语句，那么请对你说得 无赖 二字道歉。
不然，你说出你的依据 让大家作出评价？

diancn

原帖由 timon 于 2006-4-25 12:12 发表


嗯... 我觉得站在ISP立场上
这样做 对用户判断来说还是有好处的
首先他会知道 这个域名不存在，然后他会知道网还是可以上的，然后他就不会在打电话骚扰我们call center说“网断了”

然后还是有些其他好 ...

1. 是你帮助用户做了选择。你认为这样对用户更好，但用户自己未必这样认为。
2. 一些用户会认为这是事实上存在的目标，而不会意识到是你塞给他的目标。剥夺了用户的知情权。
3. 即使你在网页上明示用户这是在没有找到他所要查找的域名之后的一个缺省网页，这也违背了用户的习惯。有些用户会既在你的小区上网，同时也在别的地方上网。
4. 帮助检查网络是否通畅（很高兴你能够具有这个服务意识）可以使用比较大众化的网站，甚至你自己的网站。不必使用某些未注册的网站。也还可以有其它手段。
5. 个人认为这是一种域名劫持，DNS安全相关的协议好像就是为了防止这种使域名变得不安全的做法的。
6. 据我所知，DNS相关协议不支持这种实现，BIND应该不会支持。
7. 能够感觉到你的业务创新。可是应该按照协议规范来。如果你觉得这是一项DNS协议族里应该具有的内容，建议你参加到IETF中DNS的相关小组中，争取将你的建议变成RFC。

timon

原帖由 diancn 于 2006-4-25 14:01 发表

点对点：

1. 是你帮助用户做了选择。你认为这样对用户更好，但用户自己未必这样认为。
A: 因为作为ISP，有义务和权利对DNS故障初步判断并提醒用户操作结果，具体内容参照web server 404 501类似错误提示，不是骗人用。

2. 一些用户会认为这是事实上存在的目标，而不会意识到是你塞给他的目标。剥夺了用户的知情权。
A:我觉得和第一点类似，这要看具体实施，刀和枪总有坏人使用，但是好人也需要。ISP有自己的原则的。

3. 即使你在网页上明示用户这是在没有找到他所要查找的域名之后的一个缺省网页，这也违背了用户的习惯。有些用户会既在你的小区上网，同时也在别的地方上网。
A:作为个性化特色服务，大家会认为是不可接受的么？

4. 帮助检查网络是否通畅（很高兴你能够具有这个服务意识）可以使用比较大众化的网站，甚至你自己的网站。不必使用某些未注册的网站。也还可以有其它手段。
A:我的经验是，dns出问题，用户第一反应是网断了，会想起来ping什么地操作是少之又少。正如大家手机时不时收到，京广桥塌了，大家注意绕行一类的短信。联通移动发之前没有听证会，大家也觉得有用吧？

5. 个人认为这是一种域名劫持，DNS安全相关的协议好像就是为了防止这种使域名变得不安全的做法的。
A:我同意，但是不可否认对于内容的监管也是全球范围都在使用，其手段更是不止此一种吧。

6. 据我所知，DNS相关协议不支持这种实现，BIND应该不会支持。
A:对于不存在的域名，DNS标准应答是什么？没有回答？超时？ 我觉得是因为DNS是由其最初考虑承担责任所限，未必draft没人提出类似需求呢。

7. 能够感觉到你的业务创新。可是应该按照协议规范来。如果你觉得这是一项DNS协议族里应该具有的内容，建议你参加到IETF中DNS的相关小组中，争取将你的建议变成RFC。
A:我认为不是所有协议出现就是完美的，在新的更好的标准出现前，应用的需求可以由使用者来自行设法满足，这点大家也反对么？


diancn的看法是，这样做是不好的，作为用户是不认可的么？

那么你要是站在ISP网络管理，用户服务角度呢？

diancn

原帖由 timon 于 2006-4-25 14:56 发表
点对点：

1. 是你帮助用户做了选择。你认为这样对用户更好，但用户自己未必这样认为。
A: 因为作为ISP，有义务和权利对DNS故障初步判断并提醒用户操作结果，具体内容参照web server 404 501类似错误提示，不是骗人用。

这个与web 404有本质的不同。web 404是一个网站内部从一个网页定向到另一网页。用户知道是在与同一家网站在打交道。它更“类似”权威域下的通配记录。

2. 一些用户会认为这是事实上存在的目标，而不会意识到是你塞给他的目标。剥夺了用户的知情权。
A:我觉得和第一点类似，这要看具体实施，刀和枪总有坏人使用，但是好人也需要。ISP有自己的原则的。

好ISP帮助用户做了自己认为是好事的事，但是用户未必认可。更危险的是，坏ISP可能作出今天大家都想象不到的事。

3. 即使你在网页上明示用户这是在没有找到他所要查找的域名之后的一个缺省网页，这也违背了用户的习惯。有些用户会既在你的小区上网，同时也在别的地方上网。
A:作为个性化特色服务，大家会认为是不可接受的么？

同2

4. 帮助检查网络是否通畅（很高兴你能够具有这个服务意识）可以使用比较大众化的网站，甚至你自己的网站。不必使用某些未注册的网站。也还可以有其它手段。
A:我的经验是，dns出问题，用户第一反应是网断了，会想起来ping什么地操作是少之又少。正如大家手机时不时收到，京广桥塌了，大家注意绕行一类的短信。联通移动发之前没有听证会，大家也觉得有用吧？

事实上，对于京广桥这样的公共事件，联通移动的做法与短信小广告一样，没有本质区别，应该就此的法理进行讨论。

5. 个人认为这是一种域名劫持，DNS安全相关的协议好像就是为了防止这种使域名变得不安全的做法的。
A:我同意，但是不可否认对于内容的监管也是全球范围都在使用，其手段更是不止此一种吧。

不否认监管，但监管也应该按照法律的规定做。

6. 据我所知，DNS相关协议不支持这种实现，BIND应该不会支持。
A:对于不存在的域名，DNS标准应答是什么？没有回答？超时？ 我觉得是因为DNS是由其最初考虑承担责任所限，未必draft没人提出类似需求呢。

NXDOMAIN。DNS是全球互联网的基础架构。非常重要！对于其的任何改变都应该深思熟虑。

7. 能够感觉到你的业务创新。可是应该按照协议规范来。如果你觉得这是一项DNS协议族里应该具有的内容，建议你参加到IETF中DNS的相关小组中，争取将你的建议变成RFC。
A:我认为不是所有协议出现就是完美的，在新的更好的标准出现前，应用的需求可以由使用者来自行设法满足，这点大家也反对么？


diancn的看法是，这样做是不好的，作为用户是不认可的么？

那么你要是站在ISP网络管理，用户服务角度呢？

还是建议你慎重。ICP已经开始倡导健康网站了。plug-in软件也将要回归绿色plug-in了。希望ISP不要重走弯路。