首页
学习
活动
专区
圈层
工具
发布
社区首页 >问答首页 >完全限定的域名、dhcp dns搜索后缀和尾随点

完全限定的域名、dhcp dns搜索后缀和尾随点
EN

Server Fault用户
提问于 2015-04-15 19:26:46
回答 3查看 864关注 0票数 2

http://www.stackoverflow.com./不工作,注意尾随点。

代码语言:javascript
复制
Bad Request - Invalid Hostname 
HTTP Error 400. The request hostname is invalid.

是否应该将服务器配置为不使用尾随点来拒绝任何URL?(没有尾随点,它们不是FQDN,每个RFCs都是相对的域名。)

流氓DHCP服务器不能将dns后缀搜索路径推送到客户端并利用此漏洞吗?

假设一个流氓DHCP服务器能够将dns搜索的后缀"evildomain.com“推入,那么一个要使用chase.com的用户就会变成”chase.com.evildomain.com“。要使用“chase.com”的用户。(使用尾随点,它是一个FQDN)不会受到此漏洞的攻击。

几乎我在媒体中看到的每个URL都是相对的(因为尾随点不是显式的,并且只有在底层库添加尾随点时才成为真正的FQDN )。

我们是否应该尽可能多地强制使用绝对域名或FQDN?

在Windows上,恶意dns服务器不能简单地更改最终用户的dns后缀搜索路径吗?在*nix框上,更新resolv.conf (配置dns搜索后缀)需要权限提升,但nix用户是否仍易受DHCP欺骗场景的影响?

EN

回答 3

Server Fault用户

回答已采纳

发布于 2015-04-15 21:24:47

是的,这是一个弱点。不,当使用互联网相关域名查询时,服务器不应该停止提供内容。

试图找出一个名字是相对的还是仅仅是相对的,这并不是一个好的无状态通用解决方案的问题。一个糟糕的无状态解决方案是取消使用所有相关命名。存在相对名称的原因是有效的。

应注意确保使用的FQDN与internet相对域名的内容相同。这主要是http服务器的一个问题。

如果你想在不让人讨厌的情况下热心:

  • 当您可以使用FQDN时,不要使用internet相对域名。
  • 使用the服务器上的永久重定向308301来指出客户端的正确方向。
票数 2
EN

Server Fault用户

发布于 2015-04-15 20:41:16

每当我配置任何接受DNS域名的内容时,我都会包含尾随点。一些系统在试图验证输入时拒绝了这一点,这是一个遗憾。如果您有一个由两部分组成的域后缀,依赖DNS授权进行AD遍历的Windows客户端可能会很麻烦。女士们已经记录了解决办法。

参考resolv.conf..。等效的Windows配置还需要特权提升才能进行更改。

票数 2
EN

Server Fault用户

发布于 2015-04-15 19:36:31

默认情况下,DNS客户端在尝试搜索路径之前首先尝试包含至少一个点作为FQDN的查询。

票数 0
EN
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://serverfault.com/questions/682993

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档