Passa al contenuto principale

3. Contenuto della zona

Questa sezione descrive quali record di risorse DNS (RR) sono inclusi in una risposta AXFR e quali sono esclusi. Il contenuto di un trasferimento di zona non è arbitrario; regole specifiche governano ciò che è e non è incluso.

3.1. Record da includere

Un server AXFR DEVE includere i seguenti RR in una risposta AXFR:

  1. RR SOA: Il RR SOA per l'apice della zona DEVE apparire come primo RR nella sezione di risposta del primo messaggio di risposta e come ultimo RR nella sezione di risposta dell'ultimo messaggio di risposta.

  2. Tutti i RR autoritativi: Tutti i RR autoritativi di proprietà dei nomi di dominio all'interno della zona DEVONO essere inclusi. Ciò include, ma non è limitato a, i seguenti tipi di RR:

    • RR NS all'apice della zona
    • A, AAAA, MX, CNAME, TXT e altri tipi di RR standard
    • RR correlati a DNSSEC (DNSKEY, RRSIG, NSEC, NSEC3, DS all'apice della zona se presente)
    • Qualsiasi tipo di RR sconosciuto o sperimentale definito secondo [RFC3597]

  3. RRset: Tutti i RR dello stesso nome proprietario, classe e tipo costituiscono un RRset. Tutti i membri di un RRset DEVONO essere inclusi nel trasferimento di zona. È RACCOMANDATO che tutti i RR dello stesso RRset appaiano consecutivamente nella risposta AXFR per efficienza.

  4. Non-terminali vuoti: I nomi di dominio non-terminali vuoti (ENT) non possiedono alcun RR ma servono come segnaposto nell'albero dei nomi di dominio. Tuttavia, poiché gli ENT non possiedono RR, non sono esplicitamente rappresentati nelle risposte AXFR. Sono implicitamente definiti dall'esistenza di nomi subordinati.

Un server AXFR NON DEVE includere quanto segue in una risposta AXFR:

  1. Dati fuori zona: I RR che non sono di proprietà dei nomi di dominio all'interno della zona NON DEVONO essere inclusi (eccetto i record di colla, come descritto nella Sezione 3.3).

  2. Dati non autoritativi: Dati in cache, suggerimenti o qualsiasi altra informazione non autoritativa NON DEVONO essere inclusi.

  3. RR OPT nella sezione di risposta: I pseudo-RR OPT EDNS(0) non sono dati di zona e NON DEVONO apparire nella sezione di risposta. POSSONO apparire solo nella sezione aggiuntiva.

3.2. Record di delega

Un taglio di zona (punto di delega) è un nome di dominio in una zona dove l'autorità è delegata a un'altra zona. Ad un taglio di zona, i RR NS indicano la delega. La gestione dei record di delega in AXFR è sfumata.

RR NS di delega: I RR NS ad un taglio di zona (che delegano l'autorità a una zona figlia) DEVONO essere inclusi nella risposta AXFR. Questi RR NS sono autoritativi per la zona genitore e indicano dove l'autorità è stata delegata.

Esempio: Se la zona example.com contiene una delega a child.example.com, i RR NS per child.example.com DEVONO essere inclusi nella risposta AXFR per example.com.

RR DS ai tagli di zona: Per le zone firmate DNSSEC, i RR DS (Delegation Signer) POSSONO apparire ad un taglio di zona nella zona genitore. I RR DS ad un punto di delega DEVONO essere inclusi nella risposta AXFR per la zona genitore.

Altri tipi di RR ai tagli di zona: Ad un taglio di zona, solo i RR NS (e opzionalmente i RR DS per DNSSEC) sono autoritativi nella zona genitore. Gli altri tipi di RR che potrebbero esistere allo stesso nome di dominio sono:

  • Record di colla (vedere Sezione 3.3), o
  • Occultati dal taglio di zona (vedere Sezione 3.5).

Non esistono altri tipi di RR autoritativi (oltre a NS e DS) ad un taglio di zona nella zona genitore.

3.3. Record di colla

I record di colla sono record di indirizzo (A o AAAA) che esistono al di fuori dell'ambito autoritativo della zona ma sono necessari per prevenire dipendenze circolari durante la risoluzione dei server dei nomi della zona.

Definizione: I record di colla sono RR A o AAAA che forniscono indirizzi IP per i server dei nomi elencati nei RR NS della zona, dove tali server dei nomi risiedono in una zona figlia delegata.

Esempio: Se example.com delega a child.example.com e uno dei RR NS per child.example.com è ns1.child.example.com, allora un RR A o AAAA per ns1.child.example.com sarebbe colla nel contesto della zona example.com.

Comportamento AXFR:

  1. I record di colla NON DEVONO essere inclusi in una risposta AXFR. I record di colla sono dati fuori zona e non sono autoritativi per la zona trasferita. Il server AXFR NON DEVE inviare record di colla nella sezione di risposta di una risposta AXFR.

  2. Il client AXFR è responsabile dell'ottenimento dei record di colla attraverso altri mezzi (ad esempio, interrogando la zona figlia o facendo affidamento su dati in cache).

Motivazione: L'inclusione di record di colla nelle risposte AXFR mescolerebbedati autoritativi e non autoritativi, portando potenzialmente a confusione e incoerenza. Escludendo i record di colla, la risposta AXFR contiene solo dati autoritativi per la zona.

Nota storica: Alcune vecchie implementazioni DNS includevano record di colla nelle risposte AXFR. Le implementazioni moderne NON DEVONO includere record di colla, poiché questo comportamento è non standard e può causare problemi di interoperabilità.

3.4. Compressione dei nomi

Il formato del messaggio DNS supporta la compressione dei nomi, una tecnica per ridurre le dimensioni dei messaggi DNS sostituendo nomi di dominio ripetuti con puntatori a occorrenze precedenti dello stesso nome all'interno del messaggio.

AXFR e compressione dei nomi:

  1. La compressione dei nomi PUÒ essere utilizzata all'interno dei singoli messaggi di risposta AXFR. Ogni messaggio DNS in una sequenza AXFR è indipendente in termini di compressione dei nomi; i puntatori NON DEVONO fare riferimento a nomi in messaggi precedenti o successivi.

  2. La compressione dei nomi è particolarmente vantaggiosa nelle risposte AXFR perché molti RR condividono suffissi di nomi di dominio comuni (ad esempio, il nome della zona stessa).

  3. Un server AXFR DOVREBBE utilizzare la compressione dei nomi per ridurre la larghezza di banda e migliorare l'efficienza, ma non è obbligatorio farlo.

  4. Un client AXFR DEVE supportare la compressione dei nomi e decomprimere correttamente i nomi nelle risposte AXFR.

3.5. Nomi occultati

Un nome occultato è un nome di dominio che normalmente sarebbe all'interno di una zona ma è nascosto dalla vista della zona a causa di un taglio di zona. I nomi occultati esistono subordinati a un punto di delega.

Esempio: Se example.com delega a child.example.com, qualsiasi nome di dominio subordinato a child.example.com (come www.child.example.com o ftp.child.example.com) è occultato dal punto di vista della zona example.com.

Comportamento AXFR:

  1. I nomi occultati e i loro RR associati NON DEVONO essere inclusi in una risposta AXFR per la zona genitore. Solo il taglio di zona (i RR NS al punto di delega) è incluso.

  2. Il contenuto della zona delegata (child.example.com nell'esempio) viene trasferito solo tramite una sessione AXFR specificatamente per quella zona.

Motivazione: L'inclusione di nomi occultati nella risposta AXFR di una zona genitore violerebbe la struttura gerarchica del DNS e mescolerebbedati da più zone.

Caso speciale - DNAME: Se una zona contiene un RR DNAME [RFC2672], il DNAME crea un reindirizzamento, e qualsiasi nome subordinato al proprietario del DNAME è effettivamente occultato nello stesso modo dei nomi subordinati a una delega. I nomi occultati da DNAME NON DEVONO essere inclusi in una risposta AXFR.

Ultimo aggiornamento il