精華區beta Config 關於我們 聯絡資訊
發信人tester.bbs@bbs.ee.ncu.edu.tw (try or test),
看板Config
標 題中文網址的發展?--anycast root 與 IPV6 root ?!
發信站中央大學松濤風情資訊站 (Sat Aug 21 14:30:49 2004)
轉信站ptt!ctu-reader!ctu-peer!Spring!news.nctu!news.ntu!news.mcu!news.csie.m
> 這個方法, 說白了就是做一台跟 root server 完全一樣內容, > 也完全一樣 ip-address 的 mirror root , 但使用 policy routing > 的技術, 使得某一區得到 routing information 使之對 root server > 的查詢走某台特定 router 與路徑到達某台 mirror root, 其它區則 > 是到另一台 router 走另一個路徑到另一台同 ip-address 的 mirror > root. 這是利用 router 當 switch 使某區用某一區的 mirror , 其 > 他區則用其他區的 mirror . 如果在使用 default route 的 dumb > area 單一出口處擺一台 root mirror , 那就用不到 source-ip 的分 > 區 check , 因此一般 router 就容易做到. =============================================================== F.root-servers.net 這台 DNS root mirror 肯開放到世界各地 表面上是 IETF/ICANN 放鬆 root server 管制, 但實質上是潛伏了一台 "監測器" 散布到各地, 同時把可以佔據 dumb area 出口的全仿冒 13 root mirror 給打出一個缺口, 如果 ISC 的 F.root-servers 的查詢訊 息量突然下降, 就可判定有 mirror cache 的可能性, 如果都從 mirror cache 集中來問, 那更是可判斷被攔截. 當然, 這個 F mirror root 依 舊是能被將計就計而破解, 只是難度就增加了. 最近冒出的 root serve 問題就是 IPV6 DNS root . DNS server 是 application program , 理論上與 IPV4 , IPV6 這類 TCP/IP 層是 無關的, 更何況 BIND DNS 有 source program 可以重新 compile/link, 就看是在那個 stack 上 link 就會有 V4 或 V6 的功能. 如果在一個裝 了 V4/V6 dual stack 的機器上, 新的 BIND DNS 加了 AAAA A6 這類RR 因此能回答詢問, 而且是不管詢問的 dns client 是用 V4 還是 V6. BIND DNS 能維持一統, 是在其程式當中崁進了 13 台 dns server 的 HINT table , 同時會透過 root server 的啟動向其他 root server 線上要求 root server NS RR , 這個特異功能用了一個固定長度的訊息 格式, 據估算最多只能再塞進 2 台 IPV6 的 ROOT NS 資訊. 若要修定這 個格式, 就要考慮回溯相容問題, 還要顧慮一大堆要求多散置 DNS root server 的問題. 最近這半年, 法國 IPV6 6-bone 實驗裝設了一台能讓純 V6 機器查詢的 V6 dual stack DNS root, 大陸也宣稱掌握了這個技術, 也做了類似實驗. 法國是用 alternative root 技術, 這方法類似 TANET 的 mirror root 形式, 有自己的 ip-address 以取代 13 台 root 的 ip address , 只是法國的 alternative root 是 dual stack , 有自己的V6 address 供純 V6 直接查詢. 現在最精彩的可能做法就是拿一台機器在 dumb area 出口做全仿冒 ip 的 anycast 13 台 root mirror, 同時也跑 v4/v6 dual stack 也有自 己的 V6 ip-address , 這台 V6 root dns 當然是要接到 V6 net 與 V6 tunnel 讓其他純 V6 機器來詢問. ICANN/IETF 現在也批准 13 台 root DNS server 的 V6 ip-address, 但還沒有實施 dual stack root server, hint table 是個檔案並沒有 13 台的限制問題, 但啟動一般 dns server 時, 會向已知的 root server 下 載 root NS RR 覆蓋, 這個 BIND DNS 自動臣服, 接受改造歸順的特異功 能目前無法在回溯相容下接納更多的 root server 資訊. 如果使用了 anycast partial root server , 例如 F root , 在 root server 的詢問中崁入一角, 就能藉之散布與核驗比對正宗的 hint table , 使得一般 BIND DNS 在判斷後, 自動將不符的 root DNS server 列為偽冒 server 而拒絕來往. -- ◎ Origin: 中央松濤站□bbs.ee.ncu.edu.tw From: 140.115.6.234