Сети и протоколы
DNS: тест на свободное воспроизведение
Воспроизведение по памяти сильнее перечитывания. Для каждого вопроса проговорите или запишите полный ответ по памяти, прежде чем открыть образец — именно усилие припоминания закрепляет механизм, когда вы посреди инцидента.
Восстановите ключевые механизмы юнита — итеративный обход резолвера, glue, что на самом деле контролирует TTL, negative caching, цепочку доверия DNSSEC и чем шифрованный транспорт отличается от DNSSEC — не подглядывая в уроки.
- 01Пройдите холодный резолв cdn.example.co.uk и объясните, почему запросы резолвера итеративные, а запрос клиента — рекурсивный.
- 02Что такое glue-запись и что ломается без неё?
- 03Почему «DNS propagation» — вводящий в заблуждение термин и какова корректная SOP для планового изменения записи?
- 04Что такое negative caching, какие длительности им управляют и почему это важно под нагрузкой?
- 05Опишите цепочку доверия DNSSEC, разделение ZSK/KSK и самую частую ошибку при rollover.
- 06Что защищает шифрованный DNS (DoH/DoT/DoQ), что защищает DNSSEC и почему нужны оба?
Если вы смогли восстановить каждый ответ по памяти, вы держите стержень юнита: резолвер обходит итеративно root → TLD → authoritative по referral’ам, а glue разрывает циклические делегирования; TTL — это разрешение для кеша, поэтому «propagation» — лишь независимое истечение, и плановые изменения начинаются с понижения TTL; negative caching (NXDOMAIN/NODATA через SOA.MINIMUM, SERVFAIL ненадолго) щитит авторитативный от флудов; DNSSEC цепляет подписи от корневого trust anchor через DS/KSK/ZSK, и забытое обновление DS после KSK rollover делит пользователей; а шифрованный транспорт скрывает запросы, тогда как DNSSEC аутентифицирует ответы — ортогонально, и вместе это защита от cache poisoning.