網路色情是一個大生意,對於成年人來說,是一種需求。但對未成年人而言,是一種傷害(?),許多家長因為同年齡小孩的比較或是時代變遷,不得不提早給予小孩 3C 產品,但網路是雙面刃,有很多的資源,也有很多的詐騙與色情,防不勝防,該如何阻止呢?
標籤: DNS
KINDNS 的全名是 (Knowledge-Sharing and Instantiating Norms for DNS,KINDNS),是由 ICANN 於 2022 年 9 月開始的一個新的專案。主要在協助營運商加強 DNS 的營運機制與安全性。
KINDNS 專案的目的在於使 DNS 安全營運最佳實踐框架,鼓勵各 DNS 供應商、代管者加強自身的安全機制。
ICANN 與技術社群合作制定了 KINDNS,作為保障DNS營運安全的最佳實踐機制。一個不論大小型DNS營運商都可以輕鬆遵循的簡單且有效框架,以維護域名伺服器在地理區域和拓撲結構上的多樣性。
KINDNS 主要在於建議各種安全機制的協助,例如建議 DNS 營運商使用加密,使用 HSM 硬體加密伺服器,為客戶的網域名稱區域黨簽署 DNSSEC,如何管理客戶的帳號密碼等。
透過 KINDNS,DNS 營運商可以加強自身的安全。
很奇怪的是使用 ChatGPT 總結官方網站的內容,卻跟我說適用 Kubernetes 來提供的DNS服務?? 我滿頭霧水,因為官方網站中,應該沒有提到 Kubernetes 之類的字眼,還是有什麼文件我沒看到的呢?
EDNS(Extension mechanisms for DNS)是一種域名系統(DNS)擴展協定,它可以在 DNS 查詢中添加額外的資料,如DNSSEC(DNS安全擴展),以增強 DNS 協定的功能。EDNS 在DNS 協定中添加了一些新的擴展區塊,使得 DNS 協定可以携帶更多的資訊。EDNS 擴展協定提供了更多的選項,例如增加 DNS 查詢大小限制,使 DNS 查詢和回應更加高效和可靠。EDNS 還提供了更好的 DNS 安全和防止 DNS 攻擊的保護機制。
EDNS 會擴展 UDP 封包,原 UDP 封包大小為 512 bytes,但 EDNS 的 UDP 封包大小為 4096,若有資訊安全設備的話很可能會造成誤判。
SPF 紀錄是用來防止假冒郵件,但並不是用 SPF 來判別郵件的內容是不是假冒郵件,也不是用 SPF 來判是不是垃圾信件。那 SFP 要怎麼用呢? 要如何設定 SPF?
SPF (Sender Policy Framework)
SPF (Sender Policy Framework) 是一種用於防止電子郵件假冒的技術,它使用 DNS 記錄來控制哪些郵件主機可以發送以域名作為發件人的電子郵件。
通過定義哪些 IP 位址或主機名允許發送以該域名作為發件人的電子郵件,SPF 可以幫助防止電子郵件假冒,因為接收方的郵件服務器可以通過驗證電子郵件的發件人是否是合法的來源,來識別潛在的垃圾郵件或惡意郵件。
換句話說,我們將郵件主機的 IP 位址或是主機名稱放到 DNS 紀錄裡面,當對方郵件主機收到信件時,它就可以透過 DNS 記錄來確認送信主機的 IP 位址或主機名稱是不是正確的來源。
SPF 使用 TXT 紀錄
SPF 其實不是一個 DNS 紀錄類型,常見的紀錄類型有 A、MX、NS、CNAME、TXT。TXT 就是一般文字格式,SPF 使用 TXT 紀錄來描述那些主機是郵件伺服器,所以我們在使用 SPF 紀錄時,要建立的是 TXT 紀錄。
SPF 的範例
example.com. IN TXT “v=spf1 a mx -all”
這個記錄表示:
v=spf1 表示 SPF 的版本。
a 表示當前域名的 A 記錄是合法的發件人。
mx 表示當前域名的 MX 記錄是合法的發件人。
-all 表示其他任何發件人均為不合法。
這個示例中的 SPF 記錄表明,任何在當前域名的 A 或 MX 記錄中的主機都是合法的發件人,而所有其他主機都不是合法的發件人。
請註意,SPF 記錄可以非常覆雜,可以涵蓋多個域名和 IP 地址,因此上面的示例只是一個簡單的演示。
網域名稱有兩個類型的操作是跟所有權人有關,第一個是所有權人變更,另一個是網域名稱移轉,很多人會搞混這兩種網域名稱的功能,所有權人變更通常是免費的,網域名稱移轉通常會收取一年的續約費,不要搞錯。
網路上都會提及一個東西叫做 DNS 傳播 (DNS Propagation),告訴你在修改 DNS 紀錄之後要等待 24 ~ 48 小時的 DNS 傳播時間。到底什麼是 DNS 傳播呢?
什麼是 TTL?
TTL 就是 DNS 的暫存時間,當 DNS 紀錄被查詢過之後,就會存留在快取伺服器 (例如 168.95.1.1 或 8.8.8.8) 上,直到 TTL 的時間 (秒),過去後才會重新查詢,在時間內的重複查詢都會使用快取資料,詳細的說明可以參考我寫過的文章。
新手在設立網站時,需要學習的東西非常多。DNS 算是最開始會接觸到的東西,因為要購買網址、主機,然後就開始設定 DNS。
DNS 系列文章目錄
DNS 除錯教學系列文章(1) – DNS 入門
DNS 除錯教學系列文章(2) – DNS 架構
DNS 除錯教學系列文章(3) – DNS 紀錄
DNS 除錯教學系列文章(4) – dig 指令
DNS 除錯教學系列文章(5) – 常見 DNS 問題與 dig 除錯方法
首先你一定有一個問題,或是查詢的目標,譬如問題是郵件不會通、網站打不開、或是想知道 www 目前指到那一台伺服器,針對你要查詢的問題,首先查 NS 的位址然後再查詢你要確認的狀況。
DNS 系列文章目錄
DNS 除錯教學系列文章(1) – DNS 入門
DNS 除錯教學系列文章(2) – DNS 架構
DNS 除錯教學系列文章(3) – DNS 紀錄
DNS 除錯教學系列文章(4) – dig 指令
DNS 除錯教學系列文章(5) – 常見 DNS 問題與 dig 除錯方法
為什麼要用 dig,不能用 ping 嗎?
dig 能顯示 DNS 封包中大部份的資料,包括每一個 bit 的值,對於你要快速進行 DNS 除錯的人來說,比較能有一目了然的效果。ping 是網路測試工具,他不會經由正確的 DNS 解析來查詢 DNS,他會借助系統的設定透過 Public DNS 來解析,很有可能會拿到暫存的資料。