Passa al contenuto principale

1. Introduzione

I risolutori ricorsivi DNS devono fornire risposte a tutte le query dei loro client, anche quelle per nomi di dominio che non esistono. Per ogni nome interrogato che si trova all'interno di un dominio di primo livello (TLD) che non è nella cache del risolutore ricorsivo, il risolutore deve inviare una query a un server root per ottenere le informazioni per quel TLD o per scoprire che il TLD non esiste. La ricerca mostra che la stragrande maggioranza delle query dirette alla root sono per nomi che non esistono nella zona root.

Molte delle query dai risolutori ricorsivi ai server root ottengono risposte che sono rinvii ad altri server. Terze parti malintenzionate potrebbero essere in grado di osservare quel traffico sulla rete tra il risolutore ricorsivo e i server root.

Gli obiettivi principali di questo progetto sono fornire risposte più affidabili per le query alla zona root durante gli attacchi di rete che colpiscono i server root e impedire che le query e le risposte siano visibili sulla rete. Questo progetto avrà probabilmente scarsi effetti sull'ottenimento di risposte più rapide al risolutore stub per query valide sui TLD, perché il TTL per la maggior parte dei TLD è solitamente di lunga durata (nell'ordine di un giorno o due) ed è quindi solitamente già nella cache del risolutore ricorsivo; lo stesso vale per i record NS root.

Il metodo descritto consiste nell'eseguire un server root sullo stesso server del risolutore ricorsivo, utilizzando un indirizzo di loopback o utilizzando un meccanismo come "viste" o "sistemi logici" per separare le funzioni del risolutore ricorsivo e del server root.

1.1. Modifiche rispetto alla RFC 7706

La RFC 7706 richiedeva esplicitamente che un'istanza del server root fosse eseguita sull'interfaccia di loopback dell'host che esegue il risolutore di convalida. Tuttavia, la RFC 7706 conteneva anche esempi di come configurare software comuni che non utilizzavano l'interfaccia di loopback.

Questo documento aggiorna i requisiti per consentire l'esecuzione dell'istanza del server root sull'interfaccia di loopback o come parte integrata del software del risolutore.

1.2. Notazione dei requisiti

Le parole chiave "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY" e "OPTIONAL" in questo documento devono essere interpretate come descritto in BCP 14 [RFC2119] [RFC8174] quando, e solo quando, appaiono in maiuscolo, come mostrato qui.

Ultimo aggiornamento il