Сети и протоколы
DNS: тест с множественным выбором
Шесть вопросов, пронизывающих весь юнит. Каждый отражает решение, которое вы принимаете в реальном DNS-инциденте — перенаправление, которое выглядит «сломанным», изменение, которое не хочет «распространяться», SERVFAIL у части пользователей — а не определение для заучивания.
Убедитесь, что вы связываете обход резолвера, семантику кеширования и TTL, валидацию DNSSEC и шифрованный транспорт в единую модель — тот синтез, к которому вели отдельные уроки.
Резолвер запрашивает у TLD .com имя shop.example.com и получает ответ с пустой секцией Answer, но с NS и A записями. Джуниор называет это поломкой. Почему это на самом деле корректно?
Вы меняете A-запись. Коллега видит новое значение; у вас ещё 40 минут возвращается старое, потом переключается. Менеджер говорит ждать 24-48 часов «propagation». Что происходит на самом деле?
Шквал запросов бьёт по авторитативному серверу по тысячам несуществующих поддоменов во время атаки. Почему на здоровой конфигурации это почти не повышает нагрузку на авторитативный?
После KSK rollover на прошлой неделе сайт недоступен для ~30% пользователей с SERVFAIL, а остальные 70% работают. dig +cd возвращает корректную A-запись. Какой диагноз?
Privacy-продукт хочет одновременно скрыть от наблюдателей сети, какие домены резолвят пользователи, И не дать off-path-атакующему подсунуть поддельный ответ. Какая комбинация реально даёт оба свойства?
Резолв имени периодически возвращает SERVFAIL и только для DNSSEC-подписанных или больших ответов; маленькие plain-UDP-ответы работают. Вчера выкатили изменение на firewall. Наиболее вероятная причина?
Сквозная линия юнита — одна модель резолва: рекурсивный резолвер обходит root → TLD → authoritative по referral’ам (NS в Authority, glue в Additional); каждый кеш держит ответы — положительные и отрицательные — лишь столько, сколько разрешает TTL, поэтому «propagation» — это просто независимое истечение; DNSSEC накладывает цепочку подписей от корневого trust anchor вниз через DS/KSK/ZSK, и разрыв звена делит пользователей по линии валидирующих/невалидирующих; а шифрованный транспорт (DoH/DoT/DoQ) скрывает запросы, но ортогонален целостности DNSSEC. Большинство продакшен-сбоев — устаревшие записи, NXDOMAIN-флуды, SERVFAIL после rollover, усечение из-за заблокированного TCP — сводятся к одному из этих четырёх механизмов.