Eine DNS Wildcard-Aufzeichnung ist eine Aufzeichnung in einer DNS Zone, die Bitten um nicht existierende Domainnamen vergleichen wird. Eine Wildcard DNS Aufzeichnung wird durch das Verwenden "*" als das Leftmost-Etikett (ein Teil) eines Domainnamens z.B angegeben. Die genauen Regeln dafür, wenn ein Stellenvertretersymbol zusammenpassen wird, werden in RFC 1034 angegeben, aber die Regeln sind weder intuitiv noch klar angegeben. Das ist auf unvereinbare Durchführungen und unerwartete Ergebnisse hinausgelaufen, wenn sie verwendet werden.

Definitionen von DNS Wildcards

Eine Wildcard DNS Aufzeichnung in einer Zonendatei sieht ähnlich diesem Beispiel aus:

*.example.com. 3600 IN MX 10 host1.example.com.

Diese Wildcard DNS Aufzeichnung wird DNS lookups auf Domainnamen verursachen, die darin enden, besteht nicht, um für sie synthetisierte MX-Aufzeichnungen zu haben. Also, ein lookup für die MX-Aufzeichnung dafür würde eine MX-Aufzeichnung zurückgeben, die dazu hinweist.

Wildcards im DNS werden viel mehr beschränkt als andere in anderen Computersystemen verwendete Wildcard-Charaktere. Wildcard DNS Aufzeichnungen hat eine Single "*" (Sternchen) als der leftmost DNS Etikett, solcher als. Sternchen an anderen Plätzen im Gebiet werden als eine Wildcard nicht arbeiten, so weder noch als Wildcard DNS Aufzeichnungen arbeiten. Außerdem wird das Stellenvertretersymbol nur verglichen, wenn ein Gebiet nicht nur nicht besteht, wenn es keine zusammenpassenden Aufzeichnungen des Typs gibt, der dafür gefragt worden ist. Sogar die Definition "besteht", wie definiert, im Suchalgorithmus von RFC nicht 1034 Abschnitt 4.3.2 kann auf das Stellenvertretersymbol hinauslaufen, das nicht Fälle vergleicht, die Sie mit anderen Typen von Wildcards erwarten könnten.

Die ursprüngliche Definition dessen, wie sich eine DNS Wildcard benimmt, wird in RFC 1034 Abschnitte 4.3.2 und 4.3.3 angegeben, aber nur indirekt durch bestimmte Schritte in einem Suchalgorithmus und infolgedessen sind die Regeln weder intuitiv noch klar angegeben. Infolgedessen, 20 Jahre später, RFC 4592, "Wurde die Rolle von Wildcards im Domainname-System" geschrieben, um zu helfen, die Regeln zu klären.

RFC 1912 anzusetzen, "Denkt ein häufiger Fehler, dass eine Wildcard MX für eine Zone für alle Gastgeber in der Zone gelten wird. Ein Wildcard-MX wird nur für Namen in der Zone gelten, die im DNS überhaupt nicht verzeichnet werden." D. h. wenn es ein Stellenvertretersymbol MX für, und Eine Aufzeichnung (aber keine MX-Aufzeichnung) dafür gibt, ist die richtige Antwort (laut RFC 1034) zu einer MX-Bitte darum "kein Fehler, aber keine Daten"; das ist im Gegensatz zur vielleicht erwarteten Antwort der MX-Aufzeichnung, die dem beigefügt ist.

Beispiel-Wildcard-Gebrauch

Das folgende Beispiel ist von RFC 4592 Abschnitt 2.2.1 und ist im Erklären nützlich, wie Wildcards arbeiten.

Sagen Sie, dass es eine DNS Zone mit den folgenden Quellenaufzeichnungen gibt:

$ORIGIN-Beispiel.

Beispiel. 3600 IN SOA

Beispiel. 3600 NS ns.example.com.

Beispiel. 3600 NS ns.example.net.

*.example. 3600 TXT "ist das eine Wildcard"

*.example. 3600 MX 10 host1.example.

U-Boot *.example. 3600 TXT "ist das nicht eine Wildcard"

host1.example. 3600 192.0.2.1

_ssh.tcp.host1.example. 3600 SRV

_ssh.tcp.host2.example. 3600 SRV

subdel.example. 3600 NS ns.example.com.

subdel.example. 3600 NS ns.example.net.

</pre>

Ein Blick auf die Domainnamen in einer Baumstruktur ist nützlich:

|

-------------Beispiel------------

/ / \\

/ / \\

/ / \\

* host1 host2 subdel

| | |

| | |

U-Boot tcp tcp

| |

| |

_ssh _ssh </Code>

Die folgenden Antworten würden von einer der Wildcards in der Zone synthetisiert:

Die folgenden Antworten würden von keiner der Wildcards in der Zone synthetisiert:

Das Endbeispiel hebt einen häufigen Irrtum über Wildcards hervor. Eine Wildcard "blockiert sich" im Sinn, dass eine Wildcard seine eigenen Subgebiete nicht vergleicht. D. h. vergleicht alle Namen in der Zone nicht; es scheitert, die Namen unten zu vergleichen. Um Namen unter zu bedecken, ist ein anderer Wildcard-Domainname erforderlich - der alle außer seinen eigenen Subgebieten bedeckt.

Wildcards in der Praxis

Um aus RFC 4592 zu zitieren, weichen viele DNS Durchführungen unterschiedlich aus der ursprünglichen Definition von Wildcards ab. Einige der Schwankungen schließen ein:

• Mit djbdns, zusätzlich zur Überprüfung für Wildcards am aktuellen Niveau, überprüft der Server für Wildcards in allen Umgeben-Supergebieten, dem ganzen Weg bis zur Wurzel. In den Beispielen, die oben verzeichnet sind, würde die Abfrage für für eine MX-Aufzeichnung ein Stellenvertretersymbol trotz des vorhandenen Gebiets vergleichen.
• Der DNS Server des Microsofts (wenn konfiguriert, um so zu tun), und MaraDNS hat (standardmäßig) Wildcards auch vergleichen alle Bitten um leere Quellenrekordsätze, d. h. Domainnamen, für die es keine Aufzeichnungen des gewünschten Typs gibt. In den Beispielen, die oben verzeichnet sind, würde die Abfrage für für eine MX-Aufzeichnung, trotz ausführlich vorhandenen mit nur einer TXT-Aufzeichnung zusammenpassen.

Registries/ISPs, die Wildcards verwenden

Mehrere Domainname-Registratoren, in verschiedenen Zeiten, haben Wildcard-Aufzeichnungen für die Gebiete auf höchster Ebene, am meisten namentlich VeriSign für.com und.net mit seinem (jetzt entfernt) Seite-Finder-System eingesetzt. Der.museum TLD hatte auch eine Wildcard-Aufzeichnung, die jetzt entfernt worden ist. Gebiete auf höchster Ebene mit einer Wildcard Eine Aufzeichnung schließen.cg.kr.mp.nu.ph.rw.st.tk und.ws ein.

Es ist auch für ISPs üblich geworden, um Adresssätze zu synthetisieren, um Druckfehler zu ihren Werbeseiten, einer Praxis genannt "der Sammelplatz" typosquatting umzuadressieren, aber diese sind nicht wahre Stellenvertretersymbole, aber haben eher Verstecken-Namenserver modifiziert.

Das Ignorieren von Wildcards durch andere verwendet

Das Internetsoftwarekonsortium hat eine Version des BINDENS der DNS Software erzeugt, die von Systemverwaltern konfiguriert werden kann, um Wildcard DNS Aufzeichnungen von bestimmten Gebieten herauszufiltern. Verschiedene Entwickler haben Softwareflecke dafür erzeugt BINDEN und für djbdns.

Andere DNS Server-Programme sind Klage gefolgt, die Fähigkeit zur Verfügung stellend, Wildcard DNS Aufzeichnungen, wie konfiguriert, zu ignorieren.

Links

• IAB Kommentar: Architektonische Sorgen auf dem Gebrauch von DNS Wildcards
• Die Internetsoftwarekonsortium-Ansage "der Delegation-Only-" Eigenschaft, die verwendet werden kann, um Wildcards herauszufiltern
• Microsoft Knowledgebase: KB193844: Erklärung von DNS Wildcards