В каких случаях появляется раздел additional в dig?

Question

[kabaja1035]

При выполнении dig vkontakte.ru @ns1.vkontakte.ru появляется раздел additional с IP-адресами авторитетных серверов, а при dig vk.com @ns1.vkontakte.ru — нет. Я попытался воссоздать эту структуру, но у меня раздел additional появляется в обоих случаях.
Почему так происходит? Как сделать так, чтобы vk.com не знал IP-адреса своих ns-серверов? Нашел похожий вопрос, но он мало мне помог.

Выводы dig

Официальный

~$ dig vkontakte.ru @ns1.vkontakte.ru
...
;; AUTHORITY SECTION:
vkontakte.ru.           900     IN      NS      ns1.vkontakte.ru.
vkontakte.ru.           900     IN      NS      ns2.vkontakte.ru.
vkontakte.ru.           900     IN      NS      ns3.vkontakte.ru.
vkontakte.ru.           900     IN      NS      ns4.vkontakte.ru.

;; ADDITIONAL SECTION:
ns1.vkontakte.ru.       900     IN      A       87.240.131.131
ns2.vkontakte.ru.       900     IN      A       95.213.21.21
ns3.vkontakte.ru.       900     IN      A       93.186.238.238
ns4.vkontakte.ru.       900     IN      A       87.240.136.136
ns1.vkontakte.ru.       900     IN      AAAA    2a00:bdc0:ff:1::2
ns2.vkontakte.ru.       900     IN      AAAA    2a00:bdc0:ff:2::2
ns3.vkontakte.ru.       900     IN      AAAA    2a00:bdc0:ff:3::2
ns4.vkontakte.ru.       900     IN      AAAA    2a00:bdc0:ff:4::2
...

~$ dig vk.com @ns1.vkontakte.ru
...
;; AUTHORITY SECTION:
vk.com.                 900     IN      NS      ns1.vkontakte.ru.
vk.com.                 900     IN      NS      ns2.vkontakte.ru.
vk.com.                 900     IN      NS      ns3.vkontakte.ru.
vk.com.                 900     IN      NS      ns4.vkontakte.ru.
...

Что получилось у меня

~$ dig vkontakte.ru @localhost
...
;; AUTHORITY SECTION:
vkontakte.ru.           604800  IN      NS      ns4.vkontakte.ru.
vkontakte.ru.           604800  IN      NS      ns3.vkontakte.ru.
vkontakte.ru.           604800  IN      NS      ns1.vkontakte.ru.
vkontakte.ru.           604800  IN      NS      ns2.vkontakte.ru.

;; ADDITIONAL SECTION:
ns1.vkontakte.ru.       604800  IN      A       1.1.1.1
ns2.vkontakte.ru.       604800  IN      A       2.2.2.2
ns3.vkontakte.ru.       604800  IN      A       3.3.3.3
ns4.vkontakte.ru.       604800  IN      A       4.4.4.4
....

~$ dig vk.com @localhost
...
;; AUTHORITY SECTION:
vk.com.                 604800  IN      NS      ns3.vkontakte.ru.
vk.com.                 604800  IN      NS      ns1.vkontakte.ru.
vk.com.                 604800  IN      NS      ns4.vkontakte.ru.
vk.com.                 604800  IN      NS      ns2.vkontakte.ru.

;; ADDITIONAL SECTION:
ns1.vkontakte.ru.       604800  IN      A       1.1.1.1
ns2.vkontakte.ru.       604800  IN      A       2.2.2.2
ns3.vkontakte.ru.       604800  IN      A       3.3.3.3
ns4.vkontakte.ru.       604800  IN      A       4.4.4.4
...

/etc/bind/named.conf.local

zone "vkontakte.ru" {
        type master;
        file "/etc/bind/zones/db.vkontakte.ru";
};

zone "vk.com" {
        type master;
        file "/etc/bind/zones/db.vk.com";
};

/etc/bind/named.conf.options

options {
        directory "/var/cache/bind";
        listen-on { 127.0.0.1; };
        allow-query { any; };

        dnssec-validation auto;
        auth-nxdomain no;
        listen-on-v6 { any; };
};

/etc/bind/zones/db.vkontakte.ru

$TTL    604800
@       IN      SOA     ns1.vkontakte.ru. admin.vkontakte.ru. (
                              7         ; Serial
                           1000         ; Refresh
                          86400         ; Retry
                            600         ; Expire
                            900 )       ; Negative Cache TTL

; name servers - NS records
@     IN      NS      ns1.vkontakte.ru.
@     IN      NS      ns2.vkontakte.ru.
@     IN      NS      ns3.vkontakte.ru.
@     IN      NS      ns4.vkontakte.ru.

; name servers - A records
ns1.vkontakte.ru.                  IN      A       1.1.1.1
ns2.vkontakte.ru.                  IN      A       2.2.2.2
ns3.vkontakte.ru.                  IN      A       3.3.3.3
ns4.vkontakte.ru.                  IN      A       4.4.4.4
vkontakte.ru.                      IN      A       255.255.255.255

/etc/bind/zones/db.vk.com

$TTL    604800
@       IN      SOA     ns1.vkontakte.ru. admin.vkontakte.ru. (
                              7         ; Serial
                           1000         ; Refresh
                          86400         ; Retry
                            600         ; Expire
                            900 )       ; Negative Cache TTL

; name servers - NS records
@     IN      NS      ns1.vkontakte.ru.
@     IN      NS      ns2.vkontakte.ru.
@     IN      NS      ns3.vkontakte.ru.
@     IN      NS      ns4.vkontakte.ru.

; name servers - A records
vk.com.                      IN      A       255.255.255.255

Answer 1

[Vitaly Karasik]

DNS дает резолвинг для nameservers когда они из того же домейна.

https://serverfault.com/questions/541925/dig-looku...

Comments

[xacak44860]

Подскажите, как изменить конфиг, чтобы стало как в официальном результате?

[Vitaly Karasik]

для example.com использовать DNS типа ns.other-domain.com.

[xacak44860]

Vitaly Karasik, в моем случае так и происходит: для vk.com используется DNS ns*.vkontakte.ru.

[Vitaly Karasik]

xacak44860, наверно, я не понял ваш вопрос.

Я попытался воссоздать эту структуру, но у меня раздел additional появляется в обоих случаях.

Я думал, что у вас есть ваш домейн, и вы не хотите видеть additional для него.
А что на самом деле?

[xacak44860]

Vitaly Karasik, все верно. У меня есть домен vk.com, который использует ns сервера ns*.vkontakte.ru. Но при этом dig все равно выводит их ip-адреса, хотя не должен. Фактический (что получилось у меня) и ожидаемый (официальный) dig, а также конфиги bind9 в спойлерах

[Vitaly Karasik]

Дошло (похоже, моя рассеянность усилилась:-)!

Я попробовал у себя ваш конфиг - и у меня нет ADDITIONAL ни для одного домейна.
Так что, честно говоря, сам запутался.

[kabaja1035]

Vitaly Karasik, чтобы исключить "особенность" dig, возьмем этот сайт. Так пишет IP, а вот так не пишет, выглядит логично. Но если вместо ns1.vkontakte.ru я подставляю IP-адрес своего ns сервера с конфигом выше, то у меня для обоих адресов (vk.com и vkontakte.ru) начинают выводиться IP-сервера их ns-серверов. У вас такое же поведение?

[Vitaly Karasik]

kabaja1035, насколько вижу, нет - у меня для vk.com не выводится - https://2whois.ru/?t=dig&data=vkontakte.ru&dns=130...

https://2whois.ru/?t=dig&data=vk.com&dns=130.61.34...

[xacak44860]

Vitaly Karasik, очень странно. А можете версию bind сказать?

[Vitaly Karasik]

bind9 1:9.16.1-0ubuntu2.7

Answer 2

[AUser0]

Если нужно такое странное извращение - можно сделать две view, в основной принимать все запросы, хранить все зоны (кроме особенной), а в forwarders поставить вторую view (через 127.0.0.2), и в ней же - эту особенную зону. Тогда основная view будет non-authoritative - что вам и требовалось... непонятно зачем.

Comments

[AUser0]

Хммм, а может можно обойтись отключением рекурсии в этой спец-зоне?

[kabaja1035]

Тут дело не в извращении, а понять, как это работает.
Другой пример: dig NS yandex.ru @ns1.yandex.ru выводит IP-адреса ns-серверов, а dig NS ya.ru @ns1.yandex.ru нет. Почему так?

[kabaja1035]

AUser0, но при этом dig NS yandex.net @ns1.yandex.ru тоже отдает IP-адреса ns-серверов. В чем принципиальная разница между yandex.net / yandex.ru, для которых адреса отдаются, и ya.ru, для которого нет?

[AUser0]

У меня ситуация обратная, nslookup -type=any не упоминает, что у yandex.ru есть NS-записи. А для ya.ru о них сообщает.

Правда IP-шки NS-ов не пишет. Возможно это особенность dig, ресолвить IP.

[kabaja1035]

AUser0, чтобы исключить "особенность" dig, возьмем этот сайт. Так пишет IP, а вот так не пишет, выглядит логично. Но если вместо ns1.vkontakte.ru я подставляю IP-адрес своего ns сервера с конфигом выше, то у меня для обоих адресов (vk.com и vkontakte.ru) начинают выводиться IP-сервера их ns-серверов.