Por que os servidores raiz do DNS não respondem?

1

Se eu tentar consultar um servidor raiz com dig , nunca receberei uma resposta.

Por exemplo, a saída para dig @b.root-servers.net www.ubuntu.com é

; <<>> DiG 9.8.1-P1 <<>> @b.root-servers.net www.ubuntu.com

; (1 server found)

;; global options: +cmd

;; connection timed out; no servers could be reached

Mas se eu consultar outros servidores (o do meu provedor ou 8.8.8.8), eles responderão corretamente. Por quê?

P.S. Usando o Wireshark, posso ver as consultas de saída para o endereço IP correto do servidor raiz, mas não há pacotes de entrada do mesmo IP.

    
por JustTrying 19.11.2012 / 11:14

2 respostas

3

Parece que seu provedor de internet deve bloquear o acesso aos servidores de nomes raiz . Obviamente, eles não bloqueiam o acesso a seus próprios resolvedores, e provavelmente isentam alguns outros resolvedores externos populares, como o DNS público do Google, mas podem bloquear todo o acesso domain -port de outra forma.

Isso é comum? Depende. Eu acho que é relativamente comum que tais blocos estejam presentes em redes universitárias e corporativas, mas eu diria que não deveria ser uma ocorrência particularmente comum com provedores residenciais regulares. (A maioria dos provedores bloqueia a saída smtp -port, no entanto.)

Por que alguém iria bloquear servidores de nomes externos? Isso provavelmente tem a ver com vários ataques man-in-the-middle que são possíveis se servidores de nomes legítimos forem substituídos por servidores comprometidos. Para evitar esses ataques e reduzir as reclamações dos usuários, a maioria dos provedores geralmente redireciona todas as solicitações domain -port para seus próprios servidores: quando eles fazem isso, você não pode mais executar seu próprio servidor recursivo ou fazer dig +trace troubleshooting, mas pelo menos você não precisaria alterar suas configurações de DNS.

De qualquer forma, na verdade não há nada errado com o seu próprio comando: você deveria receber uma resposta como abaixo, o que tornaria possível fazer outra solicitação no caminho recursivo manual para a resolução do nome dado.

# dig @b.root-servers.net www.ubuntu.com

; <<>> DiG 9.7.3 <<>> @b.root-servers.net www.ubuntu.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 20828
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 13, ADDITIONAL: 14
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;www.ubuntu.com.                        IN      A

;; AUTHORITY SECTION:
com.                    172800  IN      NS      g.gtld-servers.net.
com.                    172800  IN      NS      l.gtld-servers.net.
com.                    172800  IN      NS      h.gtld-servers.net.
com.                    172800  IN      NS      c.gtld-servers.net.
com.                    172800  IN      NS      f.gtld-servers.net.
com.                    172800  IN      NS      k.gtld-servers.net.
com.                    172800  IN      NS      e.gtld-servers.net.
com.                    172800  IN      NS      d.gtld-servers.net.
com.                    172800  IN      NS      j.gtld-servers.net.
com.                    172800  IN      NS      m.gtld-servers.net.
com.                    172800  IN      NS      b.gtld-servers.net.
com.                    172800  IN      NS      a.gtld-servers.net.
com.                    172800  IN      NS      i.gtld-servers.net.

;; ADDITIONAL SECTION:
a.gtld-servers.net.     172800  IN      A       192.5.6.30
b.gtld-servers.net.     172800  IN      A       192.33.14.30
c.gtld-servers.net.     172800  IN      A       192.26.92.30
d.gtld-servers.net.     172800  IN      A       192.31.80.30
e.gtld-servers.net.     172800  IN      A       192.12.94.30
f.gtld-servers.net.     172800  IN      A       192.35.51.30
g.gtld-servers.net.     172800  IN      A       192.42.93.30
h.gtld-servers.net.     172800  IN      A       192.54.112.30
i.gtld-servers.net.     172800  IN      A       192.43.172.30
j.gtld-servers.net.     172800  IN      A       192.48.79.30
k.gtld-servers.net.     172800  IN      A       192.52.178.30
l.gtld-servers.net.     172800  IN      A       192.41.162.30
m.gtld-servers.net.     172800  IN      A       192.55.83.30
a.gtld-servers.net.     172800  IN      AAAA    2001:503:a83e::2:30

;; Query time: 12 msec
;; SERVER: 192.228.79.201#53(192.228.79.201)
;; WHEN: Sat Jan 12 22:52:12 2013
;; MSG SIZE  rcvd: 492
    
por 13.01.2013 / 08:24
2

Os servidores raiz devem responder à sua pergunta para uma pesquisa com uma resposta onde você pode encontrar .com. O motivo pelo qual o b.root-servers.net não está respondendo é que o seu arquivo de dicas de raiz está desatualizado. Tente atualizar este arquivo.

    
por 19.11.2012 / 11:33