Pregunta DNS - NSLOOKUP ¿cuál es el significado de la respuesta no autorizada?


Para algunos dominios nslookup me da un Non-authoritative answer sección. ¿Qué significa esto?

Got answer:
    HEADER:
        opcode = QUERY, id = 3, rcode = NXDOMAIN
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 1,  additional =

    QUESTIONS:
        www.ssss.com.SME, type = AAAA, class = IN
    AUTHORITY RECORDS:
    ->  (root)
        ttl = 1787 (29 mins 47 secs)
        primary name server = a.root-servers.net
        responsible mail addr = nstld.verisign-grs.com

------------
Non-authoritative answer:
------------

------------
Name:    example.com
Address:  93.184.216.34
Aliases:  www.example.com

94
2017-08-01 01:49


origen


www.xxx.com no es realmente un ejemplo de nombre de dominio jaja;) ... RFC sugiere que use example.com. ver iana.org/dominios/reservado - Mzn


Respuestas:


Básicamente, es lo que el nombre dice que es. Una respuesta autorizada proviene de un servidor de nombres que se considera autoritario para el dominio para el que está devolviendo un registro (uno de los servidores de nombres en la lista para el dominio que realizó una búsqueda), y una respuesta no autorizada proviene de cualquier otro lugar (un El servidor de nombres no se encuentra en la lista del dominio en el que realizó una búsqueda).

Básicamente es una distinción entre un servidor de nombres que es un servidor de nombres oficial para el dominio que está consultando y un servidor de nombres que no lo es. Los servidores de nombres que no tienen autoridad están obteniendo sus respuestas por segunda (o tercera o cuarta ...) mano, simplemente transmitiendo la información desde otro lugar.

Así, por ejemplo, si hice un nslookup de maps.google.com ahora mismo, obtendría una respuesta de uno de mis servidores de nombres configurados. (Ya sea de mi ISP o de mi dominio). Volvería como no autoritario porque ni los servidores de nombres de mi ISP ni los míos están en la lista de servidores de nombres para google.com. No son los servidores de nombres de Google, por lo que no son la fuente autorizada que crea los registros NS.

La lista de servidores de nombres autorizados para Google se encuentra a continuación (de whois.internic.net).

Nombre de dominio: GOOGLE.COM

Registrador: MARKMONITOR INC.

Whois Server: whois.markmonitor.com

Servidor de nombres: NS1.GOOGLE.COM

Servidor de nombres: NS2.GOOGLE.COM

Servidor de nombres: NS3.GOOGLE.COM

Servidor de nombres: NS4.GOOGLE.COM

Fecha de actualización: 20-jul-2011

Fecha de creación: 15-sep-1997

Fecha de expiración: 14-sep-2020

Si cambié mi servidor DNS configurado a uno de los que están en esa lista, y luego hice una nslookup en contra maps.google.com, Obtendría una respuesta autoritaria de vuelta. Esos servidores son la autoridad (o la fuente) de los nombres válidos en los dominios de Google y los que no lo son. Todos los demás servidores de nombres, servidores de nombres no autorizados, obtienen sus registros NS de los servidores autorizados en algún lugar de la línea.


85
2017-08-01 02:20





La respuesta que recibió es esencialmente una respuesta en caché o reenviada de su servidor DNS local. Básicamente, un servidor de nombres no autoritario es aquel que no contiene los registros de la zona que se consulta; Es probable que su DNS local no tenga registros de nombres de Google, por ejemplo.

Puede obtener los servidores de nombres autorizados para un dominio determinado ejecutando host -t ns example.com para recuperar el registro NS para example.com.

En el caso de Google, vemos:

$ host -t ns google.com
google.com name server ns4.google.com.
google.com name server ns1.google.com.
google.com name server ns2.google.com.
google.com name server ns3.google.com.

Si posteriormente ejecuta su nslookup comando contra uno de esos servidores, obtendrás la respuesta autorizada:

$ nslookup www.google.com ns1.google.com
Server:         ns1.google.com
Address:        216.239.32.10#53

www.google.com  canonical name = www.l.google.com.
Name:   www.l.google.com
Address: 173.194.43.49
Name:   www.l.google.com
Address: 173.194.43.50
Name:   www.l.google.com
Address: 173.194.43.48
Name:   www.l.google.com
Address: 173.194.43.52
Name:   www.l.google.com
Address: 173.194.43.51

Si estas usando nslookupPara obtener el tipo de registro NS, puede ejecutar algo como esto en modo interactivo:

$ nslookup
> set querytype=ns
> google.com
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
google.com      nameserver = ns3.google.com.
google.com      nameserver = ns4.google.com.
google.com      nameserver = ns1.google.com.
google.com      nameserver = ns2.google.com.

Authoritative answers can be found from:
ns1.google.com  internet address = 216.239.32.10

Entonces, estableciendo querytype=ns hace lo que el anterior host comando hizo


30
2017-08-01 02:26



solo curiosidad ... que hace # significa en Address: 127.0.0.1#53? - cwhsu
Supongo que por el puerto de escucha ¿no? Como lo que se dice aquí nlp.stanford.edu/IR-book/html/htmledition/dns-resolution-1.html - cwhsu


La respuesta no autorizada simplemente significa que la respuesta no se obtiene del servidor DNS autorizado para el nombre de dominio consultado.

Primero tienes que entender cómo funciona el sistema DNS. El sistema DNS se puede dividir en tres niveles. Son:

  • servidores DNS raíz
  • servidores DNS de dominio de nivel superior
  • servidores DNS autorizados

Existe otra clase de Servidor DNS que generalmente se llama servidor DNS local cuya dirección IP se especifica en su sistema operativo.

Cuando su navegador se conecta a un sitio web, por ejemplo example.com, el navegador primero consulta su servidor DNS local para obtener la dirección IP de example.com.

  • Si el servidor DNS local no tiene el registro A de example.com, Consultará uno de los servidores DNS raíz.

  • El servidor DNS raíz dirá: No tengo el registro A pero sé El servidor DNS de dominio de nivel superior que es responsable de .com dominios

  • Luego, su servidor DNS local consulta el servidor DNS de dominio de nivel superior que es responsable de los dominios .com. los El servidor DNS de TLD responderá: yo tampoco sé, pero sé qué DNS El servidor es autoritario para example.com.

  • Así que su servidor DNS local consulta el servidor DNS autorizado. Porque el registro DNS real se almacena en ese servidor DNS autorizado, por lo que le dará una respuesta a su servidor DNS local.

Luego, el resultado de esta consulta se almacena en caché en su servidor DNS local pero puede estar desactualizado. Cuando el tiempo de TTL haya expirado, su servidor DNS local actualizará el resultado de la consulta del servidor DNS autorizado. Cada vez que consulta un registro DNS en su servidor DNS local, devuelve una respuesta no autorizada (no oficial). Si desea una respuesta autorizada, debe especificar explícitamente el servidor DNS autoritario cuando utilice nslookup u otras utilidades. Creo que un servidor DNS local debería llamarse almacenamiento en caché del servidor DNS.

Cuando alguien registra un nombre de dominio, puede especificar qué servidor DNS es el servidor DNS autorizado. Esta información se llama registro NS. El registro NS le dirá a un servidor DNS de dominio de nivel superior qué servidor de nombres tiene el registro A, el registro MX, etc. del dominio.


17
2017-09-07 04:22



Esto explicaba mucho más que todas las otras respuestas combinadas. Explicar la topología de cómo funciona el DNS es extremadamente útil para proporcionar contexto para este problema. - Levi Roberts


Desde Laboratorio de Wireshark: DNS v6.01: However, nslookup also indicates that the answer is “non-authoritative,” meaning that this answer came from the cache of some server rather than from an authoritative MIT DNS server


0
2017-11-24 19:11