Zum Hauptinhalt springen

1. Einführung

Rekursive DNS-Resolver müssen Antworten auf alle Anfragen ihrer Clients geben, auch auf solche für Domänennamen, die nicht existieren. Für jeden abgefragten Namen, der sich in einer Top-Level-Domain (TLD) befindet, die nicht im Cache des rekursiven Resolvers enthalten ist, muss der Resolver eine Anfrage an einen Root-Server senden, um die Informationen für diese TLD zu erhalten oder um herauszufinden, dass die TLD nicht existiert. Untersuchungen zeigen, dass die überwiegende Mehrheit der Anfragen an die Root für Namen bestimmt ist, die in der Root-Zone nicht existieren.

Viele der Anfragen von rekursiven Resolvern an Root-Server erhalten Antworten, die Verweise auf andere Server sind. Böswillige Dritte könnten diesen Verkehr im Netzwerk zwischen dem rekursiven Resolver und den Root-Servern beobachten.

Die Hauptziele dieses Entwurfs sind die Bereitstellung zuverlässigerer Antworten für Anfragen an die Root-Zone während Netzwerkangriffen, die die Root-Server betreffen, und die Verhinderung, dass Anfragen und Antworten im Netzwerk sichtbar sind. Dieser Entwurf wird wahrscheinlich nur geringe Auswirkungen auf schnellere Antworten an den Stub-Resolver für gültige Anfragen zu TLDs haben, da die TTL für die meisten TLDs in der Regel langlebig ist (in der Größenordnung von ein oder zwei Tagen) und sich daher normalerweise bereits im Cache des rekursiven Resolvers befindet; das Gleiche gilt für die Root-NS-Einträge.

Die beschriebene Methode besteht darin, einen Root-Server auf demselben Server wie den rekursiven Resolver auszuführen, unter Verwendung einer Loopback-Adresse oder unter Verwendung eines Mechanismus wie "Views" oder "logischen Systemen", um die Funktionen des rekursiven Resolvers und des Root-Servers zu trennen.

1.1. Änderungen gegenüber RFC 7706

RFC 7706 verlangte ausdrücklich, dass eine Root-Server-Instanz auf der Loopback-Schnittstelle des Hosts ausgeführt wird, auf dem der validierende Resolver ausgeführt wird. RFC 7706 enthielt jedoch auch Beispiele für die Einrichtung gängiger Software, die die Loopback-Schnittstelle nicht verwendete.

Dieses Dokument aktualisiert die Anforderungen, um zu ermöglichen, dass die Root-Server-Instanz auf der Loopback-Schnittstelle ausgeführt wird oder ein integrierter Teil der Resolver-Software ist.

1.2. Anforderungsnotation

Die Schlüsselwörter "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY" und "OPTIONAL" in diesem Dokument sind so zu interpretieren, wie in BCP 14 [RFC2119] [RFC8174] beschrieben, wenn, und nur wenn, sie wie hier gezeigt in Großbuchstaben erscheinen.

Letztes Update am