С точки зрения безопасности, какой смысл здесь не доверять разделу ДОПОЛНИТЕЛЬНО, когда они совпадают с разделом АВТОРИТЕТ?
Нет никакой безопасности в отношении ДОПОЛНИТЕЛЬНЫЙ раздел. В случае DNSSEC записи в ОРГАН ВЛАСТИ и ОТВЕЧАТЬ разделы подписаны, но те, что в ДОПОЛНИТЕЛЬНЫЙ не. Следовательно, клиент НЕ МОЖЕМ доверять содержанию ДОПОЛНИТЕЛЬНЫЙ действительно исходит от авторитетного сервера имен, он мог быть изменен при передаче.
Таким образом, даже если вы думаете, что данная запись "соответствует" ОРГАН ВЛАСТИ раздел, он мог быть полностью захвачен злоумышленником на пути.
Большинство, если не все DNS-клиенты избегают использования каких-либо данных в ДОПОЛНИТЕЛЬНЫЙ кроме тех случаев, когда другого пути совсем нет, то есть когда нужны клеи. Технически клеи необходимы только тогда, когда серверы имен находятся в зоне ответственности, то есть на уровне или ниже доменного имени. Не просто ниже того же TLD, который является просто внутренним, как мы видим здесь, а действительно находится в зоне ответственности запрашиваемого доменного имени.
Здесь, ns-912.awsdns-50.net. не находится в бейливике allcosts.net. и, следовательно, его присутствие в ДОПОЛНИТЕЛЬНЫЙ является необязательным, и его лучше игнорировать.
Но давайте вернемся к разрешению вашего имени, выполнив все шаги и посмотрев, нужна ли нам эта запись в ДОПОЛНИТЕЛЬНЫЙ раздел и как это помогает.
Шаг 1
allcosts.net обслуживается:
ns-22.awsdns-02.com.ns-912.awsdns-50.net.ns-1834.awsdns-37.co.uk.ns-1233.awsdns-26.org.
Чтобы получить какие-либо данные, необходимо связаться с одним из этих 4 серверов имен, поэтому его имя должно быть разрешено. Обратите внимание, конечно, что клиенту нужен только один из них и не нужно проверять все 4 из них. Но давайте попробуем разрешить все эти 4 имени.
Шаг 2а: ns-22.awsdns-02.com.
Домен awsdns-02.com. обслуживается:
g-ns-3.awsdns-02.com.g-ns-578.awsdns-02.com.g-ns-1154.awsdns-02.com.g-ns-1730.awsdns-02.com.
Обратите внимание, что эти 4 имени находятся под контролем этого домена, поэтому родительские серверы имен возвращают клеи (А и АААА записей) для всех 4 из них, отсюда и название ns-22.awsdns-02.com. может быть полностью разрешен, и первоначальный запрос может остановиться на этом, если это был выбран сервер имен. Рекорд в первом ДОПОЛНИТЕЛЬНЫЙ раздел здесь бесполезен.
Шаг 2б: ns-912.awsdns-50.net.
Домен awsdns-50.net. обслуживается:
g-ns-1970.awsdns-50.net.g-ns-499.awsdns-50.net.g-ns-820.awsdns-50.net.g-ns-1394.awsdns-50.net.
Опять же, все в порядке, выводы те же, что и на предыдущем шаге.
Обратите внимание, как ns-912.awsdns-50.net. здесь нигде не фигурирует, поэтому снова его IP-адрес в первом ДОПОЛНИТЕЛЬНЫЙ разделы не требуется.
Шаг 2с ns-1834.awsdns-37.co.uk.
Короче говоря, снова awsdns-37.co.uk. обслуживается 4 доменными именами в бейливике, такой же вывод.
Шаг 2г ns-1233.awsdns-26.org.
Тем же.
Заключение
Независимо от того, что делается для разрешения любого имени под allcosts.net., IP-адрес ns-912.awsdns-50.net. приведены в ДОПОЛНИТЕЛЬНЫЙ раздел НЕ БУДЕТ использовать, потому что он не нужен. Авторитетные серверы имен для awsdns-50.net. будет запрошен, чтобы получить имя для ns-912.awsdns-50.net. поскольку контент от родителя не будет доверенным.
Постскриптум
Но если бесполезно, то почему эта запись вообще существует?
Так как ns-912.awsdns-50.net. был зарегистрирован в соответствующем реестре в качестве хост-объекта регистратором awsdns-50.net.. Это можно увидеть в whois:
$ whois -h whois.verisign-grs.com 'сервер имен ns-912.awsdns-50.net.'
Имя сервера: NS-912.AWSDNS-50.NET
IP-адрес: 205.251.195.144
Регистратор: MarkMonitor Inc.
Регистратор WHOIS-сервер: whois.markmonitor.com
URL-адрес регистратора: http://www.markmonitor.com
>>> Последнее обновление базы данных whois: 2022-01-09T07:02:41Z <<<
Этот хост-объект на самом деле бесполезен (поскольку это имя хоста НЕТ авторитетный на awsdns-50.net.), но, возможно, оно использовалось в прошлом ИЛИ другие доменные имена под ком или же сеть (как тот же реестр) использовать этот хост-объект, поэтому его нельзя удалить.
Также обратите внимание, что здесь нет операционных последствий, поскольку IP-адреса совпадают:
$ копать NS-912.AWSDNS-50.NET @g-ns-1394.AWSDNS-50.NET. +короткий
205.251.195.144
Склеивание становится проблемой, когда IP-адрес меняется с одной стороны (например, дочерний) без синхронизации с другой (родительский). Но, опять же, даже это здесь ни на что не повлияет, т.к. ДОПОЛНИТЕЛЬНЫЙ запись не требуется для решения чего-либо под allcosts.net..
