Info! Please note that this translation has been provided at best effort, for your convenience. The English page remains the official version.

Comprendre la stratégie de délégation Lame DNS

Publié le
Comprendre la stratégie de délégation Lame DNS

 

commutateur réseau avec câblesAFRINIC a mis en place le Proposition de politique de Délégation Lame dans son intégralité; répondant spécifiquement aux exigences de La Section 10.7 du CPM

La date de mise en service prévue est le 29 avril 2021.

 

Définition de "LAME"

Un serveur de noms DNS faisant autorité est considéré comme boiteux lorsqu'il ne répond pas de manière adéquate aux requêtes pour un domaine, pour lequel il est le Start of Authority (SOA) désigné.

Aux fins de la mise en œuvre de cette stratégie, un serveur de noms DNS qui, s'il est interrogé à l'aide d'un client ou d'une bibliothèque DNS standard, ne répond pas avec une réponse faisant autorité pour le domaine spécifique est considéré comme boiteux.

Aucune distinction n'est faite ici entre les comportements suivants d'un serveur DNS:

  • Ne répond pas du tout.
  • Répondre d'une manière ou d'une autre, mais pas pour le domaine spécifique interrogé.
  • Répondant pour le domaine correct, mais sans le bit d’autorité défini.

Toutes les variations ci-dessus aboutissent à une délégation «boiteuse».

 

Qu'est-ce que cette implémentation implique?

Des tests de boiterie DNS seront exécutés sur une base mensuelle sur tous les serveurs de noms enregistrés comme enregistrements "nserver" dans les objets "domain" dans l'AFRINIC WHOIS base de données.

Ces vérifications seront exécutées à partir d'au moins trois emplacements géographiques différents et une seule réponse faisant autorité enregistrée et réussie à partir d'un emplacement de test unique est suffisante pour NE PAS considérer un serveur de noms comme «boiteux».

Une fois qu'un enregistrement «nserver» donné a été déterminé comme étant boiteux pour un domaine donné et que des tentatives raisonnables ont été faites pour contacter la ou les personnes responsables, l'attribut nserver doit alors être supprimé de l'objet de domaine donné. Une ligne «remarques» sera ajoutée à l'objet de domaine dans la base de données enregistrant cela.

Dans le cas où tous les enregistrements de serveur de noms sont boiteux pour un domaine donné, l'objet de domaine sera supprimé dans son intégralité.

 

L'approche complète de vérification de la «boiterie» est la suivante:

Time FreakStatutAction
Jour 0 La délégation Lame est détectée pour la première fois Délégation boiterie enregistrée, serveur de noms à tester à nouveau pour la boiterie tous les jours
Jour 3 Si la délégation est toujours boiteuse La notification initiale est envoyée aux contacts admin-c, zone-c et tech-c enregistrés
Jour 10 Si la délégation est toujours boiteuse Envoyez le premier rappel aux contacts admin-c, zone-c et tech-c enregistrés
Jour 11 Si la délégation boiteuse est toujours détectée Une remarque est ajoutée dans l'objet domaine identifiant le ou les serveurs de noms boiteux.
Jour 17 Si la délégation est toujours boiteuse Envoyez le deuxième rappel aux contacts admin-c, zone-c et tech-c
Jour 24 Si la délégation est toujours boiteuse Envoyer le dernier et dernier rappel aux contacts admin-c, zone-c et tech-c
Jour 30 Si la délégation DNS inversée est toujours boiteuse L'enregistrement «nserver» sera supprimé du ou des objets de domaine pour lesquels il est boiteux. Tout objet "domaine" qui n'a donc aucun enregistrement "nserver", sera supprimé du WHOIS base de données.

 

Les contrôles de boiterie continueront à s'exécuter quotidiennement et lorsqu'un serveur de noms n'est plus détecté comme boiteux, la remarque correspondante sera supprimée.

 

Quel est l'impact sur les membres dont les domaines ont des délégations boiteuses?

L'impact négatif des délégations DNS Lame inversées affectera les utilisateurs du réseau en question ainsi que les tiers qui se fondent sur les enregistrements DNS du domaine concerné.

La recherche DNS pour les domaines supprimés sera répondue par une réponse NXDOMAIN, ce qui signifie que ce domaine n'est répertorié dans aucune zone DNS AFRINIC.

 

Que peut faire un membre pour résoudre la délégation de Lame?

AFRINIC recommande vivement que les mesures nécessaires soient prises pour corriger le problème de boiterie DNS avant que la suppression n'ait lieu; cela pourrait être soit, en rendant les serveurs de noms faisant autorité pour les zones pertinentes, soit en éditant la liste des serveurs de noms dans les attributs "nserver" des objets "domain" pertinents.

Les objets avec des délégations boiteuses peuvent être mis à jour en vous connectant à https://my.afrinic.net

  • Allez dans l'onglet "Ressources"
  • Sélectionnez "Délégation inversée" dans la liste déroulante
  • Cliquez sur l'icône de développement à côté du préfixe IP
  • Sélectionnez l'icône d'édition

Vous pouvez également le faire via le WHOIS interface web sur le site AFRINIC https://www.afrinic.net/whois ou par e-mail, où les objets de domaine peuvent être soumis à cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir..

La mise en œuvre est conçue pour minimiser la possibilité de faux positifs et nous recommandons aux membres d'utiliser le vérificateur de boiterie https://afrinic.net/whois/lame pour vérifier contre les faux positifs ainsi que pour valider les mises à jour effectuées ou toute nouvelle délégation de domaine inversée enregistrée.

Les statistiques concernant les statistiques de délégation Lame DNS sont disponibles ici: https://stats.afrinic.net/lamerdns/

Pour toute demande de renseignements, vous pouvez contacter cette adresse e-mail qui est protégée du spam. Vous devez activer JavaScript pour la voir..

 


 

Autre référence:

Section 10.7 du Manuel des politiques consolidées sur https://afrinic.net/policy/manual#lame

Comment résoudre la délégation de Lame? https://afrinic.net/support/whois/resolve-lame-delegation

Les meilleures pratiques de dépannage DNS sont recommandées dans la RFC 1912 à l'adresse https://www.ietf.org/rfc/rfc1912.txt

 

 

 

Print Friendly, PDF & Email
Dernière modification le -