完全限定的域名、dhcp dns搜索后缀和尾随点

Question

http://www.stackoverflow.com./不工作，注意尾随点。

Bad Request - Invalid Hostname 
HTTP Error 400. The request hostname is invalid.

是否应该将服务器配置为不使用尾随点来拒绝任何URL？(没有尾随点，它们不是FQDN，每个RFCs都是相对的域名。)

流氓DHCP服务器不能将dns后缀搜索路径推送到客户端并利用此漏洞吗？

假设一个流氓DHCP服务器能够将dns搜索的后缀"evildomain.com“推入，那么一个要使用chase.com的用户就会变成”chase.com.evildomain.com“。要使用“chase.com”的用户。(使用尾随点，它是一个FQDN)不会受到此漏洞的攻击。

几乎我在媒体中看到的每个URL都是相对的(因为尾随点不是显式的，并且只有在底层库添加尾随点时才成为真正的FQDN )。

我们是否应该尽可能多地强制使用绝对域名或FQDN？

在Windows上，恶意dns服务器不能简单地更改最终用户的dns后缀搜索路径吗？在*nix框上，更新resolv.conf (配置dns搜索后缀)需要权限提升，但nix用户是否仍易受DHCP欺骗场景的影响？

Answer 1

是的，这是一个弱点。不，当使用互联网相关域名查询时，服务器不应该停止提供内容。

试图找出一个名字是相对的还是仅仅是相对的，这并不是一个好的无状态通用解决方案的问题。一个糟糕的无状态解决方案是取消使用所有相关命名。存在相对名称的原因是有效的。

应注意确保使用的FQDN与internet相对域名的内容相同。这主要是http服务器的一个问题。

如果你想在不让人讨厌的情况下热心：

• 当您可以使用FQDN时，不要使用internet相对域名。
• 使用the服务器上的永久重定向308或301来指出客户端的正确方向。

Answer 2

每当我配置任何接受DNS域名的内容时，我都会包含尾随点。一些系统在试图验证输入时拒绝了这一点，这是一个遗憾。如果您有一个由两部分组成的域后缀，依赖DNS授权进行AD遍历的Windows客户端可能会很麻烦。女士们已经记录了解决办法。

参考resolv.conf..。等效的Windows配置还需要特权提升才能进行更改。

Answer 3

默认情况下，DNS客户端在尝试搜索路径之前首先尝试包含至少一个点作为FQDN的查询。