DNS vient de commencer à résoudre mes adresses server.prod à 127.0.53.53

38

J'ai des serveurs nommés comme server.prod.example.com, et je me connecte régulièrement en tant que server.prod. Récemment, ces noms d’hôtes ont commencé à se résoudre en 127.0.53.53.

Il s'avère que l'ICANN a récemment activé le .prodTLD. En outre, chaque demande adressée aux .prodserveurs de noms est résolue en 127.0.53.53 au lieu de revenir en tant que NXDOMAIN, ce qui permettrait à la résolution de continuer à fonctionner correctement. (Je suppose que le but derrière ceci est de faire savoir aux gens que leurs affaires vont se dégrader avant que ceux-ci ne commencent à se résoudre en quelque chose de réel.)

Comment puis-je éviter de taper mon nom de domaine pour chaque hôte de ce type?

Est-ce toujours vous mordre occasionnellement? Je ne pouvais pas trouver une liste de nouveaux TLD et quand ils ont été ajoutés, j'en ai donc créé moi-même: https://twitter.com/newgtldannounce

domain-name-system tld wfaulk
la source
5
Ce changement de la part de l'ICANN constitue également un bon rappel que laisser vos applications utiliser les chemins de recherche est une mauvaise chose. Bien que cette question ait définitivement son mérite, lorsque le comportement de l'utilisateur entraîne ce comportement, il est préférable que vos applications utilisent des entrées de fichier hôte ou des noms de domaine complets à suffixe. Peu de gens se rendent compte que la glibc ne passera pas sur le prochain serveur tant que le nombre de tentatives de recherche n’est pas dépassé.
Andrew B
13
Permettez-moi de prendre un moment pour rappeler à tout le monde qu’il .prods’agit d’un TLD stupide et stupide . :(
Lightness Races avec Monica
Votre question a répondu à la question que j'allais poser en disant "l'ICANN a récemment activé le TLD <que ce soit". Il s'est avéré que j'utilisais .haus pour mon réseau local et j'ai commencé à les recevoir: D Merci d'avoir demandé / répondu :)
Arno Teigseth
2
@LightnessRacesinOrbit .prod est l'un des nombreux nouveaux TLD de Google. Blame les.
Michael Hampton
@LightnessRacesinOrbit peut être stupide si vous le regardez de cette façon, mais en même temps, il est également déconseillé de dépendre de listes de recherche ou d'utiliser des noms non enregistrés globalement, car cela entraînerait des collisions.
Patrick Mevzek

Réponses:

37

Lorsque vous voyez que les domaines internes se résolvent soudainement, 127.0.53.53votre nom est collé et l’ICANN essaie de vous dire que vous devez de toute urgence réparer votre configuration DNS.
Si cela retourne NXDOMAIN comme vous l'avez suggéré, vous avez raison, cela continuerait à fonctionner - pour le moment .

Cela provoquerait également une fuite de votre requête DNS interne vers des tiers.

Pire encore, quelqu'un pourrait à l'avenir s'enregistrer server.prodet vous causer bien plus de problèmes.

Voir ici pour plus d'informations https://icann.org/namecollision ou exécutez:

$ dig -t TXT server.prod +short
"Your DNS configuration needs immediate attention see https://icann.org/namecollision"

En ce qui concerne la façon de résoudre ce problème: cela dépend du cas d'utilisation, mais je les ajouterais probablement .ssh/configavec les noms abrégés. Ou commencez vraiment à utiliser les noms de domaine complets.

faux
la source
5
@ MichaelHampton pas vraiment, je recommande le chapitre 5.3 Train users and system administrators in using FQDNs
:;
3
Oui, parce que je veux vraiment, 20 fois par jour, taper au ssh db.myreallylongdomainnamethatsomeassholefrommarketingpicked.comlieu de ssh db.
wfaulk
3
@wfaulk: Pourquoi serait-ce une "blague"? Si vous n'aimez pas le typage excessif, pourquoi évitez-vous de manière obsessionnelle le meilleur mécanisme pour permettre une interaction avec un ordinateur évitant un typage excessif? Certains d'entre vous des nerds Unix ne sont que des barmy.
Courses de légèreté avec Monica
4
Légèreté Généralement parce que nous avons tendance à graviter vers des hôtes bastions. Les seigneurs de notre entreprise sont de moins en moins susceptibles de laisser leurs employés gérer un système Unix avec les appareils de leur entreprise au fil des années, et les heures de travail économisées en ayant accès à des scripts shell à partir de notre point d’accès sont sans commune mesure avec les avantages d’une interface graphique . Les consoles d’ interface graphique et de texte sont associées à de mauvaises habitudes. : P
Andrew B
4
Ce n’est pas le lieu d’avoir une discussion GUI vs CLI. J'ai proposé une solution, ce n'est peut-être pas la meilleure pour tout le monde et c'est tout ce qu'il y a à dire.
Faker
13

Si vous tapez un nom d’hôte sans points, les résolveurs DNS tentent de rechercher ce nom en lui ajoutant d’abord les domaines de recherche configurés.

Pour la plupart des résolveurs, si vous utilisez un nom d’hôte avec au moins un point, le résolveur essaie d’abord le nom d’hôte seul et revient ensuite à l’ajout des domaines de recherche configurés.

De nombreux résolveurs ont la possibilité de modifier leur comportement de sorte qu'ils ajoutent les domaines de recherche aux noms d'hôte avec des points. Cela se fait souvent via une option appelée " ndots" qui indique au résolveur le nombre de points que le nom d'hôte doit avoir avant de tenter de rechercher le nom d'hôte par lui-même. Afin de faire server.prodfonctionner, ajoutez cette ligne à votre resolv.conf:

options ndots:2

Si vous souhaitez également pouvoir résoudre server.subzone.prod, vous devez définir l'option sur 3, etc.

Si quelqu'un sait comment utiliser MacOS X, faites-le-moi savoir; le changement /etc/resolv.confest documenté pour ne pas fonctionner (et ne fonctionne pas) et je ne peux pas comprendre les bonnes scutilincantations.

(Remarque: je couvre mes paris ici plus que ce qui est probablement garanti. Je pense que cette ndotsoption fonctionnera sur 99% des systèmes Unix (non MacOSX).)

wfaulk
la source
1
Vous confondez la bibliothèque de résolveur de système d'exploitation avec BIND. /etc/resolv.confappartient à l'OS. :)
Andrew B
La plupart, sinon tous, les résolveurs de système d'exploitation Unix sont extraits directement des bibliothèques de résolveurs de BIND, s'ils ne les utilisent pas directement. Ce que je veux dire en appelant BIND, c'est qu'il est possible qu'un système d'exploitation utilise quelque chose de différent qui ne répond pas à l'option "ndots".
wfaulk
2
Une telle déclaration est plus susceptible d'induire les gens en erreur en leur faisant croire que le résolveur implémenté par la bibliothèque standard C dépend des bibliothèques fournies par ISC. Dans le cas de la glibc, ce n'est certainement pas le cas .
Andrew B
1
C'est suffisant. Correction pour essayer d'incorporer que cela pourrait ne pas fonctionner sans faire référence à BIND.
wfaulk
0

D'autres réponses vous ont donné la solution technique au problème. Mais personne n'a répondu à votre:

Je ne pouvais pas trouver une liste de nouveaux TLD et quand ils ont été ajoutés

Alors le voici.

Vous avez différentes manières.

  1. Visitez le site Web de l'IANA à l' adresse : https://www.iana.org/domains/root/db ; vous verrez la liste actuelle des TLD délégués, c'est-à-dire ceux qui se résolvent et se trouvent dans la zone racine. Si vous cliquez dessus, vous obtiendrez une date indiquant quand ils sont apparus
  2. Ces mêmes données sont exactement disponibles sur whois, par exemple dans votre cas whois -h whois.iana.org prod | grep createdvous donneracreated: 2014-08-23
  3. Il existe différents robots sur Twitter / Mastodon qui publient des messages lorsque le contenu de l'IANA change, voir par exemple https://twitter.com/ianawhois ou https://twitter.com/rootchanges.
  4. Les données IANA peuvent être un peu en retard dans la mise à jour, donc la base de données canonique pour les gTLD, et pour voir à quel stade elles sont (à présent, c'est un peu discutable depuis que le cycle de l'ICANN de 2012 introduisant de nouveaux gTLD est presque terminé, mais arriver), est ici: https://gtldresult.icann.org/application-result/applicationstatus ; vous pouvez rechercher par TLD. Tous les gTLD ont également une période de démarrage spécifique. Vous trouverez donc les données ici: https://newgtlds.icann.org/en/program-status/sunrise-claims-periods, vous pouvez exporter toutes les données.
  5. Vous pouvez également utiliser les données ICANN en JSON: https://www.icann.org/resources/registries/gtlds/v2/gtlds.json
Patrick Mevzek
la source