it-swarm.com.de

DNS - NSLOOKUP Was bedeutet die nicht autorisierende Antwort?

Für einige Domains gibt mir nslookup ein Non-authoritative answer Sektion. Was bedeutet das?

Got answer:
    HEADER:
        opcode = QUERY, id = 3, rcode = NXDOMAIN
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 1,  additional =

    QUESTIONS:
        www.ssss.com.SME, type = AAAA, class = IN
    AUTHORITY RECORDS:
    ->  (root)
        ttl = 1787 (29 mins 47 secs)
        primary name server = a.root-servers.net
        responsible mail addr = nstld.verisign-grs.com

------------
Non-authoritative answer:
------------

------------
Name:    example.com
Address:  93.184.216.34
Aliases:  www.example.com
131
user1179459

Im Grunde ist es das, was der Name sagt. Eine autorisierende Antwort stammt von einem Nameserver, der als autorisierend für die Domain gilt, für die ein Datensatz zurückgegeben wird (einer der Nameserver in der Liste für die Domain, nach der Sie gesucht haben), und eine nicht autorisierende Antwort stammt von einem anderen Ort (a Nameserver nicht in der Liste für die Domain, nach der Sie gesucht haben).

Grundsätzlich wird zwischen einem Nameserver, der ein offizieller Nameserver für die von Ihnen abgefragte Domain ist, und einem Nameserver, der dies nicht ist, unterschieden. Nameserver, die nicht maßgeblich sind, erhalten ihre Antworten aus zweiter (oder dritter oder vierter ...) Hand - sie geben die Informationen nur von einem anderen Ort weiter.

Wenn ich zum Beispiel jetzt einen nslookup von maps.google.com Durchführe, würde ich eine Antwort von einem meiner konfigurierten Nameserver erhalten. (Entweder von meinem ISP oder von meiner Domain.) Es würde als nicht autorisierend zurückkommen, da weder die Nameserver meines ISP noch meine eigenen in der Liste der Nameserver für google.com Sind. Sie sind keine Nameserver von Google, daher sind sie nicht die maßgebliche Quelle für die Erstellung der NS-Datensätze).

Die Liste der maßgeblichen Nameserver für Google finden Sie unten (von whois.internic.net).

Domain Name: GOOGLE.COM

Kanzler: MARKMONITOR INC.

Whois Server: whois.markmonitor.com

Nameserver: NS1.GOOGLE.COM

Nameserver: NS2.GOOGLE.COM

Nameserver: NS3.GOOGLE.COM

Nameserver: NS4.GOOGLE.COM

Aktualisiert am: 20-jul-2011

Erstellungsdatum: 15. September 1997

Ablaufdatum: 14. September 2020

Wenn ich meinen konfigurierten DNS-Server in einen der in dieser Liste aufgeführten ändern und dann ein nslookup gegen maps.google.com Durchführen würde, würde ich eine maßgebliche Antwort zurückerhalten. Diese Server sind die Autorität (oder Quelle) dafür, welche Namen in den Google-Domains gültig sind und welche nicht. Alle anderen Nameserver, nicht autorisierende Nameserver, erhalten ihre NS-Datensätze) von den autorisierenden Servern irgendwo auf der ganzen Linie.

109
HopelessN00b

Die Antwort, die Sie erhalten haben, ist im Wesentlichen eine zwischengespeicherte oder weitergeleitete Antwort von Ihrem lokalen DNS-Server. Grundsätzlich ist ein nicht autorisierender Nameserver einer, der die Datensätze für die abgefragte Zone nicht enthält. In Ihrem lokalen DNS werden beispielsweise wahrscheinlich keine Google-Namensdatensätze vorhanden sein.

Sie können die für eine bestimmte Domain maßgeblichen Nameserver abrufen, indem Sie Host -t ns example.com Ausführen, um den Datensatz NS for example.com) abzurufen.

Im Fall von Google sehen wir:

$ Host -t ns google.com
google.com name server ns4.google.com.
google.com name server ns1.google.com.
google.com name server ns2.google.com.
google.com name server ns3.google.com.

Wenn Sie anschließend Ihren Befehl nslookup für einen dieser Server ausführen, erhalten Sie die maßgebliche Antwort:

$ nslookup www.google.com ns1.google.com
Server:         ns1.google.com
Address:        216.239.32.10#53

www.google.com  canonical name = www.l.google.com.
Name:   www.l.google.com
Address: 173.194.43.49
Name:   www.l.google.com
Address: 173.194.43.50
Name:   www.l.google.com
Address: 173.194.43.48
Name:   www.l.google.com
Address: 173.194.43.52
Name:   www.l.google.com
Address: 173.194.43.51

Wenn Sie nslookup verwenden, um den Datensatztyp NS) abzurufen, können Sie im interaktiven Modus Folgendes ausführen:

$ nslookup
> set querytype=ns
> google.com
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
google.com      nameserver = ns3.google.com.
google.com      nameserver = ns4.google.com.
google.com      nameserver = ns1.google.com.
google.com      nameserver = ns2.google.com.

Authoritative answers can be found from:
ns1.google.com  internet address = 216.239.32.10

Das Setzen von querytype=ns Führt also das aus, was der obige Befehl Host getan hat.

39
cjc

Nicht autorisierende Antwort bedeutet einfach, dass die Antwort für den abgefragten Domänennamen nicht vom autorisierenden DNS-Server abgerufen wird.

Zuerst müssen Sie verstehen, wie das DNS-System funktioniert. Das DNS-System kann in drei Ebenen unterteilt werden. Sie sind:

  • root-DNS-Server
  • top-Level-Domain-DNS-Server
  • autorisierende DNS-Server

Es gibt eine andere Klasse von DNS-Servern, die normalerweise als lokaler DNS-Server bezeichnet wird und deren IP-Adresse auf Ihrem Betriebssystem angegeben ist.

Wenn Ihr Browser eine Verbindung zu einer Website namens example.com herstellt, fragt der Browser zuerst Ihren lokalen DNS-Server ab, um die IP-Adresse von example.com zu erhalten.

  • Wenn der lokale DNS-Server nicht über den A-Eintrag von example.com verfügt, wird einer der DNS-Stammserver abgefragt.

  • Der Root-DNS-Server sagt: Ich habe keinen A-Eintrag, aber ich kenne den Domain-DNS-Server der obersten Ebene, der für .com-Domains verantwortlich ist.

  • Anschließend fragt Ihr lokaler DNS-Server den DNS-Server der obersten Ebene ab, der für .com-Domänen verantwortlich ist. Der TLD-DNS-Server antwortet: Ich weiß auch nicht, aber ich weiß, welcher DNS-Server für example.com maßgeblich ist.

  • Ihr lokaler DNS-Server fragt also den autorisierenden DNS-Server ab. Da der eigentliche DNS-Eintrag auf diesem autorisierenden DNS-Server gespeichert ist, gibt er Ihrem lokalen DNS-Server eine Antwort.

Dieses Abfrageergebnis wird dann auf Ihrem lokalen DNS-Server zwischengespeichert, kann jedoch veraltet sein. Wenn die Zeit TTL abgelaufen ist), aktualisiert Ihr lokaler DNS-Server das Abfrageergebnis vom autorisierenden DNS-Server. Wenn Sie einen DNS-Eintrag auf Ihrem lokalen DNS-Server abfragen, wird ein nicht autorisierender ( inoffizielle Antwort. Wenn Sie eine autorisierende Antwort wünschen, müssen Sie den autorisierenden DNS-Server explizit angeben, wenn Sie nslookup oder andere Dienstprogramme verwenden. Ich denke, ein lokaler DNS-Server sollte als Caching-DNS-Server bezeichnet werden.

Wenn jemand einen Domainnamen registriert, kann er angeben, welcher DNS-Server der autorisierende DNS-Server ist. Diese Informationen werden als NS-Eintrag) bezeichnet. Der NS-Eintrag teilt einem DNS-Server der obersten Ebene mit, auf welchem ​​Nameserver der A-Eintrag, der MX-Eintrag usw. Der Domäne gespeichert ist .

28
LinuxBabe

Von Wireshark Lab: DNS v6.01 : However, nslookup also indicates that the answer is “non-authoritative,” meaning that this answer came from the cache of some server rather than from an authoritative MIT DNS server

2
TheLogicGuy