Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Informationen zu rekursiven DNS-Servern für IPv6

Für den Zugriff auf beliebige Standorte im Internet spielt der DNS-Server (Domain Name System) eine entscheidende Rolle bei der Auflösung des Domänennamens in seine zugehörige IP-Adresse. Der DNS-Auflösungsdienst kann auch vom DHCP-Server bereitgestellt werden. Der Routing-Protokollprozess (RPD) von Routern generiert Router-Werbung, um IPv6-Hosts bei der automatischen Konfiguration und beim Erlernen von Netzwerkinformationen zu erleichtern. Bei der zustandslosen IPv6-Autokonfiguration wird die DNS-Konfiguration durch Router-Ankündigungen bereitgestellt. Die auf Routern basierende, auf Werbung basierende DNS-Konfiguration ist in Netzwerken nützlich, in denen die Adresse eines IPv6-Hosts automatisch über eine zustandslose IPv6-Adresse konfiguriert wird und keine vorhandene DHCPv6-Infrastruktur vorhanden ist.

Je nach Konfiguration können DNS-Server in die folgenden Typen klassifiziert werden:

  • Rekursives Domänennamensystem

  • Nicht-rekursives Domänennamensystem

DNS-Server können entweder rekursive oder nicht-rekursive Abfragen auflösen. Für eine rekursive Abfrage durch einen DNS-Client gibt der DNS-Server entweder die IP-Adresse zurück, die mit dem Domänennamen verknüpft ist, oder einen Fehler. Eine rekursive Abfrage gibt keine Referenz zurück. Für eine nicht-rekursive Abfrage gibt der DNS-Server die IP-Adresse des Domänennamens oder einen Fehler oder eine Referenz an einen anderen DNS-Server zurück, der die Auflösung der Abfrage haben könnte.

Für IPv6-Hosts können maximal drei rekursive DNS-Serveradressen zusammen mit deren jeweiliger Lebensdauer konfiguriert werden. Der Standardwert der Lebensdauer der konfigurierten rekursiven DNS-Serveradressen beträgt 1800 Sekunden. Der konfigurierte IPv6-Host verwendet die angegebene rekursive DNS-Serveradresse für die DNS-Auflösung, wobei die Adresse des IPv6-Hosts automatisch über eine zustandslose IPv6-Adresse konfiguriert ist und keine DHCPv6-Infrastruktur verfügbar ist.

VORSICHT:

Die rekursive DNS-Serverkonfiguration ist im Router-Advertisement-Paket enthalten, das Teil des Neighbor Discovery Protocol (NDP) ist. Im Allgemeinen könnte ein Angreifer in einem ungesicherten Bereitstellungsszenario eine Router-Anzeige mit einer betrügerischen rekursiven DNS-Serveradresse senden und so den IPv6-Host irreführend machen, einen unbeabsichtigten DNS-Server zur DNS-Namensauflösung zu kontaktieren. Diese Angriffe ähneln Neighbor Discovery-Angriffen und Angriffen gegen nicht authentifiziertes DHCP. Wir empfehlen, das Secure Neighbor Discovery (SEND)-Protokoll als Sicherheitsmechanismus für die Neighbor Discovery zu verwenden, damit alle Neighbor Discovery-Optionen, einschließlich der rekursiven DNS-Serveroptionen, automatisch in die Signaturen aufgenommen werden können.

Weitere Informationen zur Konfiguration des SEND-Protokolls finden Sie unter www.juniper.net/documentation/en_US/junos14.1/topics/topic-map/ipv6-secure-neighbor.html

Ähnliche Dokumentation