Регистрация Войти
Рейтинг:0
avatar Server

nslookup, dig и host возвращают только половину моих записей TXT

флаг ng
Carey Balboa

nslookup, dig и host возвращают только половину моих TXT-записей:

host -t txt machelpnashville.com 8.8.8.8

nslookup -type=txt machelpnashville.com 8.8.8.8

копать machelpnashville.com TXT 8.8.8.8

Они возвращают четыре записи с именем @ но они игнорируют остальные четыре записи, которые там есть. есть ли способ вытащить ВСЕ записи TXT с помощью подстановочного знака?

205
0 + 0
Maximillian Laumeister avatar
флаг cn
Maximillian Laumeister
Вы ищете способ получить все записи TXT как для machelpnashville.com, так и для каждого поддомена machelpnashville.com? Любые записи, кроме записей для `@`, применяются не непосредственно к machelpnashville.com, а к его поддоменам, и, как правило, ожидается, что они будут запрашиваться отдельно.
2
Ответить
anx avatar
флаг fr
anx
см. также [Как составить список всех записей CNAME для данного домена?](https://serverfault.com/questions/16101/how-to-list-all-cname-records-for-a-given-domain) и [ Список всех записей DNS в домене с помощью dig?](https://serverfault.com/questions/138949/list-all-dns-records-in-a-domain-using-dig)
0
Ответить
флаг ng
Carey Balboa
У меня есть 8 записей TXT, те, которые я ищу, я знаю, но хочу знать, как получить ВСЕ записи TXT для домена по умолчанию.
0
Ответить
Patrick Mevzek avatar
флаг cn
Patrick Mevzek
И для части, которую никто не трогал: нет, вы не можете использовать подстановочный знак в запросе, он не будет работать так, как вы ожидаете, исходя из вашего описания. DNS просто не работает так, как вы думаете. Это имя => API данных, и каждое имя в зоне является отдельным, поэтому ни один запрос DNS не может разрешить несколько имен за один раз.
0
Ответить
Рейтинг:1
Maximillian Laumeister avatar Server
флаг cn
Maximillian Laumeister

Невозможно сделать то, что вы просите, для домена, которым вы не владеете.

По замыслу и из соображений конфиденциальности вы не можете перечислить записи TXT всех поддоменов, если у вас нет специального разрешения на DNS-сервере для поиска передачи зоны (AXFR). Если у вас нет этого разрешения на перенос зоны, все записи, не @ (apex) должны запрашиваться каждым отдельным субдоменом, в котором они находятся.

Это предотвращает обнаружение субдоменов и записей DNS, которые не предназначены для общего доступа.

Если вы контролируете домен, у вашего провайдера DNS должны быть инструкции по разрешению переноса зоны на определенный IP-адрес. Если вы введете здесь свой IP-адрес, вы сможете использовать dig’s ахфр режим, чтобы вывести список всех записей DNS, но к тому моменту, когда вы входите в систему своего провайдера DNS, вы можете просто просматривать записи из их веб-интерфейса, если только вы не пытаетесь что-то автоматизировать.

0 + 0
Patrick Mevzek avatar
флаг cn
Patrick Mevzek
«Это предотвращает обнаружение субдоменов и записей DNS, которые не предназначены для общего доступа». DNS не разрабатывался специально для этого, это просто следствие. Но «защита» невелика: как указано в примере в комментарии, другие записи имеют имена «по умолчанию», поэтому их легко узнать. Кроме того, есть масса способов их обнаружить: от пассивного DNS до поисковых систем, использования механизмов DNSSEC NSEC/NSEC3 и т. д.
0
Ответить
Patrick Mevzek avatar
флаг cn
Patrick Mevzek
«Если вы управляете доменом»… тогда по замыслу вы должны знать, что находится в зоне, потому что вы в первую очередь помещаете это туда самостоятельно, поэтому обычно нет необходимости в AXFR и т.п., пользовательском интерфейсе провайдера DNS и/или API должен предоставить все необходимые данные, то есть список записей.
0
Ответить
Patrick Mevzek avatar
флаг cn
Patrick Mevzek
"По замыслу и из соображений безопасности" Это только "по замыслу". Когда RFC1034/1035, конечно, не было обсуждений безопасности, как сегодня. DNS — это просто имя => API данных, и каждое имя является отдельным, поэтому «вершина», также известная как @ имя зоны, — это одно имя, вы можете запросить его, но они `default._bimi._dmarc` или что-то еще **другое **имя совершенно отдельное, к тому же находящееся в зоне. Таким образом, каждый DNS-запрос дает результаты для того или иного имени, один DNS-запрос не может дать данные для обоих имен одновременно.
0
Ответить
Maximillian Laumeister avatar
флаг cn
Maximillian Laumeister
@PatrickMevzek Согласно [rfc5936](https://datatracker.ietf.org/doc/html/rfc5936#page-22), «Ограничения на AXFR могут быть по разным причинам, включая желание (или, в некоторых случаях, наличие законного требование) сохранить массовую версию зоны скрытой [...] Утверждалось, что эти причины сомнительны, но этот документ, движимый желанием использовать практику взаимодействия, которая развилась после RFC 1035, признает фактическое требование предоставить механизмы для ограничения AXFR».
0
Ответить
Patrick Mevzek avatar
флаг cn
Patrick Mevzek
RFC не диктует политики, а описывает технические механизмы.
0
Ответить
Maximillian Laumeister avatar
флаг cn
Maximillian Laumeister
@PatrickMevzek Если есть «тонна» способов перечислить эти записи, я призываю вас поделиться одним из этих методов в ответе.Было бы полезно как решить исходный вопрос плаката, так и для моего собственного образования, поскольку я также не знаком с использованием пассивного DNS или DNSSEC для перечисления всей зоны, и мне было бы очень любопытно узнать.
0
Ответить
Patrick Mevzek avatar
флаг cn
Patrick Mevzek
Отмечено, но я не думаю, что это место, ОП просто запутался в том, как работает DNS (и вопрос может быть здесь даже оффтоп), и даже AXFR может быть действительно не тем решением, которое ему нужно, или уж точно не единственный выход (как вы написали, пользовательский интерфейс DNS-провайдера должен быть первым решением). Пассивный DNS = у вас есть журналы большого рекурсивного DNS-сервера, поэтому вы видите, что запрашивается, и можете «реконструировать». содержание зоны (несовершенно конечно). Что касается DNSSEC, то NSEC представляет собой цепочку имен записей, что позволяет выполнять итерацию по зоне. NSEC3 сложнее из-за хеширования. Нужен DNSSEC конечно
0
Ответить
флаг ng
Carey Balboa
Думаю, я уточню свое использование. Я знаю, как получать DMARC, SPF и BIMI по одному, например, с помощью nslookup -type=txt _dmarc.machelpnashville.com 8.8.8.8. Много раз мы помогали клиентам очищать их записи DNS, и первые предварительные поиски, которые я выполняю, происходят до того, как мы вошли в систему регистранта домена, чтобы дать клиенту представление обо всем, что нам нужно сделать...
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.