現在很多服務都需要DNS 用來解析網域名稱及其對應IP，所以DNS佔的重要性可想而知

而現在的DNS是有弱點存在的

1。DNS cache poisoning

DNS的運作是用ID作為辨識認證，意思是我叫 cache server 去幫我查我要的domain，server跟server傳遞是靠ID，
只要cache server傳出去的ID回來了，cache server就會以為它就是我要查的，把它接收回給我，
如果攻擊者隨機的發送夾帶錯的解析的ID給cache server，我也就會收到這個錯誤的解析。
而聽說 DNSSEC 只是將ID亂數化 ?!!

2。man in the middle attack

就把它想成是假的 DNS Server

ref: 更具破壞力的DNS攻擊：中國最大搜尋網百度遭駭事件
http://www.isecutech.com.tw/article/article_detail.aspx?aid=5616#ixzz1QjyyU6rC

[閱讀全文]

[閱讀全文]

b.ssorc.tw.   CNAME   a.ssorc.tw.
c.ssorc.tw.    CNAME   a.ssorc.tw.
a.ssorc.tw.    A            192.168.1.1

a.ssorc.tw.   A   192.168.1.1

[閱讀全文]

Mail 之間的傳遞，比方說我要寄一封信給 cross@ssorc.tw，我的 mail server 設定是透過 xxx.tw 去寄的，

xxx.tw 會先查出 cross@ssorc.tw 所屬的MX 名稱，比方說是 mail.ssorc.tw，再來 xxx.tw 會再查出 mail.ssorc.tw 的 A 記錄 IP 是什麼，

接著 xxx.tw 就可以把信件傳遞到 mail.ssorc.tw 的 IP 位址主機。

有 MX 就是送到 mail.ssorc.tw 主機，那假如 cross@ssorc.tw 沒有 MX 呢，xxx.tw 會直接查 ssorc.tw 的 A 記錄 IP 位址主機，再投遞過去，

所以沒有 MX 信也是可以送的，只要查的到 A 記錄 IP 位址，但此時就不保證信能如你預期的送到目的了，也不能說沒有 MX 就不能保證，你確認信有到就好了。

不過 DNS 設定還是要有 MX 的，這才是正統設法。有另一項用意是有些 mail server 會檢查 MX，來防 SPAM。

我們也常看到會有多筆 MX 記錄，比方說:

ssorc.tw. IN MX 10 mx1.ssorc.tw.
ssorc.tw. IN MX 20 mx2.ssorc.tw.
ssorc.tw. IN MX 30 mx3.ssorc.tw.

ssorc.tw 有 mx1、mx2、mx3 三個 mail server，mx1是主要的 mail server，mx2及mx3是備援用的，

[閱讀全文]

漏洞/資安訊息通告: http://www.lit.edu.tw/onweb.jsp?webno=333333557;&webitem_no=924&print_this_flag=1

有兩個檢測方式

一。) dig +short TXT porttest.dns-oarc.net @DNS伺服器

有出現 POOR 的話，就表示這個 DNS 伺服器有弱點，需要作更新了。

二。) http://www.doxpara.com/

[閱讀全文]

http://dns-learning.twnic.net.tw/dns/03opDNS.html

DNS運作原理
DNS分為Client和Server，Client扮演發問的角色，也就是問Server 一個Domain Name，而Server必須要回答此Domain Name的真正IP地址。而當地的DNS先會查自己的資料庫。如果自己的資料庫沒有，則會往該DNS上所設的的DNS尋問，依此得到答案之後，將收到的答案存起來，並回達客戶。真正DNS的運作：有兩種詢問方法，Recursive和Iterative兩種。前面是由DNS代理去問，問的方法是用Iterative方式，後者是由本機直接做Iterative式的詢問。
 
Recursive（遞迴式）
DNS用戶端向DNS Server的查詢模式，這種方式是將要查詢的封包送出去問，就等待正確名稱的正確回應，這種方式只處理回應回來的封包是否是正確回應或是說是找不到該名稱的錯誤訊息。問的方式是用Iterative的方式。
 
Iterative（交談式）

[閱讀全文]