Comment empoisonner les réponses NXDOMAIN avec spécifié IP dans djbdns

Cela nécessite la configuration de notre intranet; Je sais que c'est une controverse et une étagère, mais cela ne s'applique pas à l'affaire.

J'ai réussi à le faire fonctionner - Bien que je ne sais pas si quelque chose d'autre va casser; Alors qu'il semble bien.

Après avoir regardé les magazines dnscache J'ai découvert qu'après que les serveurs racines tentent de permettre nonexistent.foo Il va essayer de résoudre nonexistent.foo.local.host (Où local.host - Ce nom localhost). Alors j'ai mis en place tinydns Dans l'interface de retour (127.0.0.10) pour le service 1.2.3.4 pour * .local.host. Puis j'ai ajouté ip loopback En tant que serveur pour local.host dans dnscache / root / servers.

Le seul inconvénient de ce paramètre est que la recherche foo.local.host Autorisé à 1.2.3.4, Mais cela ne cause pas d'inconvénient.

dnscache Signifie littéralement:
http://cr.yp.to/djbdns/dnscache.html
. Si vous voulez spécifier

          A

        

(Résolution directe) Pour un domaine sous votre contrôle, vous devrez courir avec une vedette complète. DNS, tel que BIND ou djbdns.

Pour répondre à une adresse IP lors de l'envoi d'une réponse NXDOMAIN, Tu casses RFC.
http://www.icann.org/en/commit ... 2.pdf
c'est
http://en.wikipedia.org/wiki/DNS_hijacking
Il n'est pas recommandé et généralement pas pris en charge, car il viole RFC. N. djbdns, n. BIND N'ont pas de soutien intégré à cela.

Pour autant que je sache, il est actuellement mis en œuvre uniquement dans des solutions commerciales. Ceci comprend
http://en.wikipedia.org/wiki/Barefruit
Et plusieurs autres.

C'est intéressant
https://lists.uknof.org.uk/pip ... .html
De la liste de diffusion, où quelqu'un semble être Kate Mitchell, directeur technique ISC, déclare qu'il ne veut pas fournir un soutien dans BIND.

Si vous avez un besoin légitime, nous pourrions vous proposer une solution technique alternative.