[technique] VM ttnn - DNS

Alarig Le Lay alarig at swordarmor.fr
Ven 17 Mar 18:50:07 CET 2023 

On Fri 17 Mar 2023 15:07:40 GMT, Marc_marc via technique wrote:
> pour résoudre sindominio.tetaneutral.net, il n'y a pas besoin de glue
> record supplémentaire (sindominio.tetaneutral.net -> demande de ns
> pour tetaneutral.net -> info que c'est ns1 ns2 ns3 et leur ip
>   -> demande à l'une de ces ip pour sindominio.tetaneutral.net -> ok
> c'est un grand mystère de savoir pq verisign impose un glue
> qui n'est pas nécessaire.

La théorie est tout à fait valide, mais verisign fait du zèle et veut un
glue record pour n’importe quel NS dans net qui est sur un domaine aussi
dans net, même si ce sont deux domaines différents…
Je trouve ça d’une débilité sans nom.

Par exemple :
labriqueinter.net.	2716	IN	NS	ns-173-a.gandi.net.
labriqueinter.net.	2716	IN	NS	ns-218-b.gandi.net.
labriqueinter.net.	2716	IN	NS	ns-84-c.gandi.net.

Les serveurs faisant autorité sur gandi.net sont dns{0..6}.gandi.net
donc ils ont des glues. Mais les ns-blah.gandi.net n’en ont pas besoin,
puisque par définition ils font autorité sur d’autres domaines.

Et pourtant, il y a des glues :
alarig at irc-clt ~ % dig -t AAAA labriqueinter.net @b.gtld-servers.net

; <<>> DiG 9.16.33 <<>> -t NS AAAA labriqueinter.net @b.gtld-servers.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49879
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 3, ADDITIONAL: 7
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;labriqueinter.net.             IN      NS

;; AUTHORITY SECTION:
labriqueinter.net.      172800  IN      NS      ns-173-a.gandi.net.
labriqueinter.net.      172800  IN      NS      ns-218-b.gandi.net.
labriqueinter.net.      172800  IN      NS      ns-84-c.gandi.net.

;; ADDITIONAL SECTION:
ns-173-a.gandi.net.     172800  IN      A       173.246.100.174
ns-173-a.gandi.net.     172800  IN      AAAA    2001:4b98:aaaa::ae
ns-218-b.gandi.net.     172800  IN      AAAA    2001:4b98:aaab::db
ns-218-b.gandi.net.     172800  IN      A       213.167.230.219
ns-84-c.gandi.net.      172800  IN      A       217.70.187.85
ns-84-c.gandi.net.      172800  IN      AAAA    2604:3400:aaac::55

;; Query time: 31 msec
;; SERVER: 2001:503:231d::2:30#53(2001:503:231d::2:30)
;; WHEN: Fri Mar 17 18:45:21 CET 2023
;; MSG SIZE  rcvd: 252

À par nous péter les noix, je ne vois pas trop l’intérêt.

-- 
Alarig

Plus d'informations sur la liste de diffusion technique