【发布时间】:2016-11-29 04:56:15
【问题描述】:
最近我开始关注 AWS Route53。
我可以为任何域创建托管区域。是什么阻止了某人为他们不拥有的域创建托管区域?这样应该可以重定向流量。
【问题讨论】:
标签: amazon-web-services amazon-route53
【发布时间】:2016-11-29 04:56:15
【问题描述】:
您甚至可以在一个 AWS 账户中为完全相同的域创建两个(或更多)托管区域,这仍然无关紧要。只有一个会在互联网上直播。
原因是因为 Route 53 至少分配了 2,048 个 DNS 服务器名称和 IP 地址……但每个托管区域分配给 - 并且在 - 其中正好 4 个有效。其他任何人都不会响应对您域数据的查询。这些显示在控制台中,并自动添加为托管区域中的 NS 记录。编辑 NS 记录会破坏您的区域,但实际上不会更改分配的 4 个服务器 IP 地址。
为同一域创建第二个托管区域,它将分配给 4 个不同的 Route 53 域名服务器 IP 地址。
当您通过注册商配置权威名称服务器时,您将 Route 53 分配的 4 个名称服务器地址提供给您希望启用的托管区域,这就是 Internet 上的解析器将为您的域发送查询的地方。 ..不是任何其他人。因此,如果有人确实为您的域创建了托管区域,那也没关系 - 他们的托管区域将位于 4 个不同的名称服务器上,任何尝试解析您的域的系统实际上都不会查询这些服务器。
请注意,有 4 个名称服务器地址分配给您的托管区域,但这并不意味着只有 4 个实际的名称服务器。分配给 Route 53 名称服务器的 IP 地址是任播地址。全球多台服务器响应同一组 4 个 IP 地址。
如果出于某种原因,您仍然认为这是一个潜在问题,请考虑这样一个事实,即这与在您控制的一组 DNS 服务器上为您不拥有的域配置区域文件没有什么不同,位于互联网上的任何地方。它不会影响域的操作,因为没有人会查询您的服务器——它们对域没有权威。
【讨论】:
-
'如果有人确实为您的域创建了托管区域,那没关系 - 他们的托管区域将位于 4 个不同的名称服务器上' - 我知道机会很小,但仍然可以做一些普通的NS。
-
Route 53 几乎可以肯定设计不这样做。它使用记录在案的“shuffle shard”算法来确保没有两个不同的域共享两个以上的名称服务器,因此几乎可以肯定它旨在防止两个相同的域拥有任何共同的服务器.万一他们在设计中没有考虑到这种可能性,这几乎肯定会导致 AWS 不会忽视的内部一致性错误,因为 Route 53 内的 DNS 记录部署是事务性的。
-
sqlbot 回答的简单版本是... 域名注册商(管理域名)指向解析域名的 DNS 服务器。您当然可以使用任何名称创建托管区域,但没有系统会查看您的定义 - 他们将使用控制该域名的任何人的定义。