Domain Name System/Request
Domain Name System/Request - Beschreibung
Beschreibung
Flags
Flags – Bits im DNS-Header, beschreiben die Art der Anfrageverarbeitung
| Bedeutung | Beschreibung | Anmerkungen |
|---|---|---|
| QR — Query/Response | ||
| 0 | Query | — |
| 1 | Response | — |
| AA — Authoritative Answer | ||
| 0 | Die Antwort ist für den Namen nicht maßgeblich | Auf einem autoritativen Server außerhalb seiner Zonen |
| 1 | Die Antwort ist für den Namen maßgeblich | Auf dem autoritativen Server für seine Zone |
| TC — Truncated | ||
| 0 | Die Antwort ist nicht abgeschnitten. | — |
| 1 | Antwort abgeschnitten (fragmentiert), Antwort über TCP wiederholen | Der Client wechselt zu TCP 53 |
| RD — Recursion Desired | ||
| 0 | Der Client fordert keine Rekursion an | Standardmäßig für direkte Anfragen an den autoritativen Server |
| 1 | Der Kunde fordert eine Rekursion an. | Ein autoritativer Server führt keine Rekursion durch. In seiner Antwort ist RA=0, auch wenn RD=1 in der Anfrage stand |
| RA — Recursion Available | ||
| 0 | Rekursion ist auf diesem Server nicht verfügbar | Standardmäßig für autoritative-only |
| 1 | Der Server unterstützt Rekursion | Standardmäßig bei rekursiven Resolvern |
| Z — Reserviert | ||
| 0 | Korrekte Bedeutung | — |
| 1 | Unzulässig gemäß Norm | Ignoriert. Reserve für zukünftige Protokollerweiterungen |
| AD — Authenticated Data (DNSSEC) | ||
| 0 | Daten sind nicht als DNSSEC validiert gekennzeichnet | Standardmäßig |
| 1 | Die Daten wurden durch DNSSEC validiert | Wird nur von einem rekursiven Resolver mit aktiviertem DNSSEC gesetzt |
| CD — Checking Disabled (DNSSEC) | ||
| 0 | Der Kunde deaktiviert die DNSSEC-Überprüfung nicht. | Standardmäßig |
| 1 | Der Kunde bittet darum, DNSSEC nicht zu überprüfen. | Einstellbar |
- EDNS(0) — DO (DNSSEC OK) — Flag in OPT
- 0 - Der Client fordert keine DNSSEC-Daten an
- 1 - Der Server fügt die entsprechenden RRSIG/DNSKEY hinzu
RCODE
Antwortcodes, RCODE – Ergebnis der Bearbeitung einer Anfrage
| Code | Name | Beschreibung | Anmerkung |
|---|---|---|---|
| 0 | NOERROR | Keine Fehler aufgetreten. Die Anfrage konnte erfolgreich verarbeitet werden. | Leere Answer-Sektion mit NOERROR entspricht NODATA (Name existiert, der abgefragte Typ jedoch nicht). |
| 1 | FORMERR | Fehlerhaftes DNS-Nachrichtenformat. Der Server konnte die Anfrage nicht interpretieren. | Kann auf defekte Pakete oder auf Probleme in Zwischenkomponenten (z.B. NAT, Firewall) hinweisen. |
| 2 | SERVFAIL | Interner Serverfehler oder temporäres Problem bei der Verarbeitung der Anfrage. | Für Clients oft kaum von Netzwerkstörungen unterscheidbar. Tritt u.a. bei DNSSEC-Validierungsfehlern auf. |
| 3 | NXDOMAIN | Der abgefragte Name existiert in der zuständigen Zone nicht. | Wird für negative Antworten mit AA=1 und SOA im Authority-Bereich verwendet (negatives Caching nach RFC 2308). |
| 4 | NOTIMP | Die angeforderte Operation oder der verwendete OpCode wird vom Server nicht unterstützt. | Kommt selten vor. Deutet meist auf sehr alte oder stark eingeschränkte Implementierungen hin. |
| 5 | REFUSED | Der Server verweigert die Ausführung der Operation aus administrativen oder sicherheitsbedingten Gründen. | Typisch bei Policy-Blockaden, z.B. geschlossener Rekursion oder gezielt gefilterten Zonen/Operationen. |
| 6 | YXDOMAIN | Der Name existiert, obwohl er gemäß der angeforderten Operation nicht existieren dürfte. | Wird fast ausschließlich im Kontext von Dynamic DNS Updates (RFC 2136) verwendet. |
| 7 | YXRRSET | Das RR-Set existiert, obwohl es gemäß der Operation nicht existieren dürfte. | Ebenfalls hauptsächlich bei DNS-Updates. Signalisiert fehlerhafte oder widersprüchliche Update-Anfragen. |
| 8 | NXRRSET | Das angeforderte RR-Set existiert nicht, obwohl es gemäß der Operation existieren müsste. | Wird bei fehlgeschlagenen Update-Operationen genutzt, wenn zu ändernde Datensätze nicht vorhanden sind. |
| 9 | NOTAUTH | Der Server ist für die angefragte Zone nicht zuständig oder lehnt die Autorisierung ab. | Häufig in Antworten auf AXFR/UPDATE, wenn der Server nicht autoritativ für die Zone ist oder Updates nicht erlaubt. |
| 10 | NOTZONE | Der angegebene Name gehört nicht zur im Update referenzierten Zone. | Hilft Clients, fehlerhafte oder falsch konstruierte Update-Requests zu erkennen. |
| 16 | BADVERS | Nicht unterstützte oder falsche EDNS-Version (im OPT-Record angegeben). | Erweitertes RCODE in EDNS. Erscheint im Zusammenhang mit dem OPT-Record, nicht als klassischer Header-Rückgabecode. |
Anhang
Siehe auch
Dokumentation
Links
Projekt
Weblinks