out of 3 rated this helpful - Rate

ra khỏi 3 đánh giá cao điều này hữu ích - đánh giá chủ đề nàyĐược đăng: 11 tháng năm 2014Cập Nhật: Tháng 2 11, 2014Áp dụng cho: Windows Server 2012, Windows Server 2012 R2Tên miền tên hệ thống bảo mật phần mở rộng (DNSSEC) là một bộ phần mở rộng thêm an ninh đối với giao thức hệ thống tên miền (DNS) bằng cách cho phép DNS hồi đáp tới được xác nhận. Cụ thể, DNSSEC cung cấp nguồn gốc quyền, toàn vẹn dữ liệu và xác thực từ chối sự tồn tại. Với DNSSEC, giao thức DNS nhiều ít nhạy cảm với một số loại tấn công, đặc biệt là cuộc tấn công giả mạo DNS.Tiện ích mở rộng DNSSEC cốt lõi được quy định trong yêu cầu sau đây cho ý kiến (RFCs). RFCs bổ sung cung cấp thông tin hỗ trợ.RFC 4033: "DNS bảo mật giới thiệu và yêu cầu"RFC 4034: "bản ghi tài nguyên DNS an ninh Tiện ích mở rộng"RFC 4035: "giao thức sửa đổi cho các phần mở rộng bảo mật DNS"Trong phần nàyDNSSEC như thế Bản ghi DNSSEC liên quan đến tài nguyên Xác nhận DNS phản ứng Truy vấn DNS ví dụ DNSSEC kịch bản DNSSEC như thếNếu được hỗ trợ bởi một máy chủ DNS uỷ quyền, một vùng DNS có thể được bảo đảm bằng DNSSEC bằng cách sử dụng một quá trình được gọi là khu vực đăng nhập Ký kết một khu vực với DNSSEC thêm hỗ trợ xác nhận đến một khu vực mà không thay đổi cơ chế cơ bản của một truy vấn DNS và phản ứng.Xác nhận DNS phản ứng xảy ra bằng cách sử dụng chữ ký kỹ thuật số được bao gồm trong DNS hồi đáp. Các chữ ký kỹ thuật số được chứa trong bản ghi tài nguyên liên quan đến DNSSEC, mới được tạo ra và thêm vào vùng trong khu vực đăng nhập.The following figure shows DNS resource records in the zone contoso.com before and after zone signing.Zone SigningFor more information about each of these resource records, see the following section, DNSSEC-related resource records.When a DNSSEC-aware recursive or forwarding DNS server receives a query from a DNS client for a DNSSEC-signed zone, it will request that the authoritative DNS server also send DNSSEC records, and then attempt to validate the DNS response using these records. A recursive or forwarding DNS server recognizes that the zone supports DNSSEC if it has a DNSKEY, also called a trust anchor, for that zone.noteNoteA non-authoritative DNS server might use recursion or forwarding to resolve a DNS query. This topic refers to the non-authoritative server as a recursive DNS server; however, if the server uses forwarding, then the process used for DNSSEC validation of DNS responses is the same.DNSSEC validationA recursive DNS server uses the DNSKEY resource record to validate responses from the authoritative DNS server by decrypting digital signatures that are contained in DNSSEC-related resource records, and then by computing and comparing hash values. If hash values are the same, it provides a reply to the DNS client with the DNS data that it requested, such as a host (A) resource record. If hash values are not the same, it replies with a SERVFAIL message. In this way, a DNSSEC-capable, resolving DNS server with a valid trust anchor installed protects against DNS spoofing attacks whether or not DNS clients are DNSSEC-aware.Ngoài ra, nếu khách hàng DNS là DNSSEC, nhận thức, nó có thể được cấu hình để yêu cầu rằng các máy chủ DNS thực hiện DNSSEC xác nhận.Hình dưới đây cho thấy quá trình xác nhận.DNSSEC xác nhậnDNSKEYs được sử dụng để tính toán giá trị băm và giải mã RRSIG hồ sơ. Các con số không hiển thị tất cả các quá trình xác nhận được thực hiện. Xác nhận bổ sung cũng tiến hành để đảm bảo các DNSKEYs là hợp lệ và DS hồ sơ có giá trị, nếu chúng tồn tại (không hiển thị ở trên).Để biết thêm chi tiết về làm thế nào DNSSEC dữ liệu có thể được thêm vào quá trình truy vấn và phản ứng của DNS, xem phần sau đây, trả lời xác nhận DNS.Bản ghi DNSSEC liên quan đến tài nguyênBảng sau hiển thị các nguồn tài nguyên mới ghi lại các loại được sử dụng với DNSSEC. Loại bản ghi tài nguyên mô tảChữ ký bản ghi tài nguyên (RRSIG)Chữ ký được tạo ra với DNSSEC được chứa trong hồ sơ RRSIG. Mỗi bản ghi RRSIG phù hợp với một kỷ lục trong khu vực mà nó cung cấp một chữ ký kỹ thuật số.Khi một trình giải quyết vấn đề một truy vấn cho một tên, một hoặc nhiều hồ sơ RRSIG được trả về trong các phản ứng.Tiếp theo an toàn (NSEC)Một kỷ lục NSEC được sử dụng để chứng minh không tồn tại của một tên DNS. NSEC hồ sơ ngăn chặn cuộc tấn công giả mạo được dự định để đánh lừa một DNS client tin tưởng vào một tên DNS không tồn tại.Tiếp theo an toàn 3 (NSEC3)NSEC3 là một thay thế hoặc thay thế cho NSEC có lợi ích bổ sung của ngăn chặn "khu vực đi bộ" mà là quá trình lặp đi lặp lại NSEC truy vấn để lấy tất cả những cái tên trong khu vực. Một máy chủ DNS đang chạy Windows Server 2012 hoặc một hệ điều hành sau đó hỗ trợ cả hai NSEC và NSEC3. Khu vực có thể được ký kết với NSEC hoặc NSEC3, nhưng không phải cả hai.Tiếp theo an toàn tham số 3 (NSEC3PARAM)Kỷ lục NSEC3PARAM được sử dụng để xác định NSEC3 ghi lại để bao gồm trong các phản ứng cho tên DNS không sẵn có.DNS chính (DNSKEY)Một bản ghi tài nguyên DNSKEY mua sắm khu vực khóa mã hóa được sử dụng để xác minh chữ ký một. Kỷ lục DNSKEY được sử dụng bởi một máy chủ DNS trong quá trình xác nhận.DNSKEY hồ sơ có thể lưu trữ khóa công cộng cho khu vực đăng nhập quan trọng (ZSK) hoặc một khóa đăng nhập quan trọng (KSK).Đoàn người ký tên chung (DS)Một kỷ lục DS là một loại hồ sơ DNSSEC được sử dụng để bảo đảm một phái đoàn. DS hồ sơ được sử dụng để xây dựng dây chuyền xác thực để trẻ em khu.Bổ sung các bản ghi tài nguyên liên quan đến DNSSECVới ngoại lệ của hồ sơ DS, tất cả các bản ghi này được thêm vào một khu vực tự động khi nó được ký kết với DNSSEC. Kỷ lục DS là một kỷ lục đặc biệt mà có thể được thêm vào theo cách thủ công vào một vùng phụ huynh để tạo ra một phái đoàn an toàn cho khu vực trẻ em. Ví dụ: contoso.com khu có thể chứa một kỷ lục DS secure.contoso.com; Tuy nhiên kỷ lục này phải hoặc là được tạo ra trong vùng phụ huynh, hoặc tạo ra trong một khu vực trẻ em và sau đó truyền đến vùng phụ huynh. Kỷ lục DS không tự động được tạo ra khi bạn đăng một khu vực.NSEC hoặc NSEC3 hồ sơ được tự động thêm vào khu vực trong khu vực đăng nhập. Tuy nhiên, một khu vực đã ký không thể có hồ sơ NSEC và NSEC3. Loại hồ sơ (NSEC hoặc NSEC3) thêm vào vùng phụ thuộc vào cách khu ký được cấu hình. Trong ví dụ trước đó, vùng được ký bằng cách sử dụng NSEC3.Tin tưởng neoDNSKEY và bản ghi tài nguyên DS cũng được gọi là neo tin tưởng hay tin cậy điểm. Một neo tin tưởng phải được phân phối cho tất cả máy chủ DNS nonauthoritative sẽ thực hiện DNSSEC xác nhận DNS phản ứng cho khu vực đã ký. Nếu các máy chủ DNS đang chạy trên một bộ điều khiển tên miền, tin tưởng neo được lưu trữ trong vùng rừng thư mục trong dịch vụ miền Active Directory (AD DS) và có thể được sao chép tới tất cả các bộ kiểm soát miền trong rừng. Trên các máy chủ DNS độc lập, sự tin tưởng neo được lưu trữ trong một tập tin tên TrustAnchors.dns. Một máy chủ DNS đang chạy Windows Server 2012 hoặc một hệ điều hành sau này cũng sẽ hiển thị cấu hình tin tưởng neo trong cây bảng điều khiển quản lý DNS trong thùng chứa tin tưởng điểm. Bạn cũng có thể sử dụng Windows PowerShell hoặc dnscmd.exe để xem tin tưởng neo (lưu ý: dnscmd.exe bị phản đối và có thể được loại bỏ trong một phiên bản mới của Windows Server).Ví dụ sau cho thấy lệnh ghép ngắn Windows PowerShell Get-DnsServerTrustAnchor.PS C: > Get-DnsServerTrustAnchor-tên secure.contoso.comTrustAnchorName TrustAnchorType TrustAnchorState TrustAnchorData--------------- --------------- ---------------- ---------------Secure.contoso.com. DNSKEY hợp lệ [15952] [DnsSec] [RsaSha256] [AwEAAe3JOsLYe17k...secure.contoso.com. DNSKEY Valid [38431][DnsSec][RsaSha256][AwEAAdsXYyqxjwBc...To view all the current trust points on a server, you can use the Get-DnsServerTrustPoint cmdlet.PS C:> Get-DnsServerTrustPointTrustPointName TrustPointState LastActiveRefreshTime NextActiveRefreshTime-------------- --------------- --------------------- ---------------------secure.contoso.com. Active 10/11/2013 4:44:21 PM 10/15/2013 11:22:27 AMFor information about how DNSSEC uses these new resource records to validate and secure DNS responses, see the following section.Validation of DNS responsesThe following figure and table provide a simplified illustration of how DNSSEC can be incorporated into the DNS query and response process to provide validation.In the example, a DNS client computer queries a recursive (caching) DNS server, which in turn queries authoritative DNS servers before returning a response. This example assumes that DNS data is not yet cached on the client or server. If a zone is signed with DNSSEC, and if DNS servers and clients are DNSSEC-aware, then DNSSEC data can be used to validate that DNS responses are genuine.The following figure shows the recursive DNS query process.DNS QueryThe following table shows the steps in a DNS query and response with optional DNSSEC data. Step Query-response Optional DNSSEC data1A DNS client sends a DNS query to a recursive DNS server.The DNS client can indicate that it is DNSSEC-aware (DO=1).2The recursive DNS server sends a DNS query to the root and top-level domain (TLD) DNS servers.The recursive DNS server can indicate that it is DNSSEC-aware (DO=1).3The root and TLD servers return a DNS response to the recursive DNS server providing the IP address of the authoritative DNS server for the zone.Authoritative servers for the parent zone can indicate that the child zone is signed using DNSSEC and include a secure delegation (DS record).4The recursive DNS server sends a DNS query to the authoritative DNS server for the zone.The recursive DNS server can indicate that it is DNSSEC-aware (DO=1) and capable of validating signed resource records (CD=1) to be sent in the response.5The authoritative DNS server returns a DNS response to the recursive DNS server, providing the resource record data.

trong tổng số 3 đánh giá này hữu ích - Rate this topic
đăng: Tháng Hai 11, 2014
Cập nhật: 11 Tháng Hai 2014
Áp dụng cho: Windows Server 2012, Windows Server 2012 R2 Domain Name System an Extensions (DNSSEC) là một bộ các phần mở rộng thêm an ninh cho Domain Name System (DNS) giao thức bằng cách cho phép phản hồi DNS để được xác nhận. Cụ thể, DNSSEC cung cấp quyền ban đầu, toàn vẹn dữ liệu, và từ chối chứng thực sự tồn tại. Với DNSSEC, giao thức DNS là ít nhạy cảm với nhiều loại tấn công, đặc biệt là các cuộc tấn công giả mạo DNS. Các phần mở rộng DNSSEC lõi được quy định trong các yêu cầu sau đây cho ý kiến (RFC). RFC khác cung cấp thông tin hỗ trợ. RFC 4033: "DNS an ninh Giới thiệu và yêu cầu" RFC 4034: "Hồ sơ tài nguyên cho các DNS an Extensions" RFC 4035: "Nghị định thư Modifications cho an Extensions DNS" Trong phần này như thế nào DNSSEC hoạt DNSSEC tài nguyên liên quan hồ sơ Xác nhận của phản ứng DNS Ví dụ truy vấn DNS DNSSEC kịch bản như thế nào DNSSEC làm việc Nếu được hỗ trợ bởi một máy chủ DNS có thẩm quyền, một vùng DNS có thể được bảo đảm bằng DNSSEC sử dụng một quá trình gọi là khu ký. Ký kết hợp với khu DNSSEC thêm hỗ trợ xác nhận để một vùng mà không thay đổi cơ chế cơ bản của một truy vấn DNS và phản ứng. Validation của các phản ứng xảy ra hoàn toàn DNS thông qua việc sử dụng chữ ký số được bao gồm phản ứng DNS. Những chữ ký kỹ thuật số được chứa trong mới, hồ sơ liên quan đến tài nguyên DNSSEC được tạo ra và thêm vào các vùng trong khu ký. Hình dưới đây cho thấy bản ghi tài nguyên DNS trong contoso.com vùng trước và sau khi ký kết khu vực. Khu Ký Để biết thêm thông tin về mỗi người trong các bản ghi tài nguyên, xem phần sau, bản ghi tài nguyên liên quan đến DNSSEC. Khi một máy chủ đệ quy hoặc chuyển tiếp DNS DNSSEC-aware nhận được một truy vấn từ một máy khách DNS cho một khu DNSSEC ký, nó sẽ yêu cầu rằng các máy chủ DNS có thẩm quyền cũng gửi hồ sơ DNSSEC, và sau đó cố gắng để xác nhận các phản hồi DNS sử dụng những hồ sơ này. Một máy chủ DNS đệ quy hoặc chuyển tiếp công nhận rằng vùng hỗ trợ DNSSEC nếu nó có một DNSKEY, còn được gọi là anchor tin tưởng, cho vùng đó. noteNote Một máy chủ DNS không có thẩm quyền có thể sử dụng đệ quy hoặc chuyển tiếp để giải quyết một truy vấn DNS. Chủ đề này đề cập đến các máy chủ không có thẩm quyền như một máy chủ DNS đệ quy; Tuy nhiên, nếu các máy chủ sử dụng chuyển tiếp, sau đó quá trình sử dụng cho DNSSEC xác nhận các phản hồi DNS là như nhau. validation DNSSEC Một máy chủ DNS đệ quy sử dụng các bản ghi tài nguyên DNSKEY để xác nhận các phản hồi từ máy chủ DNS có thẩm quyền của giải mã chữ ký số được chứa trong DNSSEC bản ghi tài nguyên -related, và sau đó bằng cách tính toán và so sánh giá trị hash. Nếu các giá trị băm là như nhau, nó cung cấp một câu trả lời cho khách hàng với các dữ liệu DNS DNS mà nó yêu cầu, chẳng hạn như một bản ghi tài nguyên máy chủ (A). Nếu các giá trị băm là không giống nhau, nó trả lời với một tin nhắn SERVFAIL. Bằng cách này, một DNSSEC có khả năng, giải quyết các máy chủ DNS với một anchor tin tưởng hợp lệ cài đặt bảo vệ chống lại các cuộc tấn công giả mạo DNS hay không khách hàng DNS là DNSSEC-aware. Ngoài ra, nếu khách hàng là DNS DNSSEC-aware, nó có thể được cấu hình để yêu cầu rằng các máy chủ DNS thực hiện xác nhận DNSSEC. Hình dưới đây cho thấy quá trình xác nhận. DNSSEC Validation DNSKEYs được sử dụng để tính toán các giá trị hash và giải mã hồ sơ RRSIG. Con số này không hiển thị tất cả các quy trình xác nhận được thực hiện. Xác nhận bổ sung cũng được thực hiện để đảm bảo DNSKEYs là hợp lệ và hồ sơ DS có giá trị, nếu chúng tồn tại (không hiển thị ở trên). Để biết thêm thông tin về cách dữ liệu DNSSEC có thể được thêm vào truy vấn DNS và đáp ứng quá trình, xem phần sau , Xác nhận các phản hồi DNS. DNSSEC tài nguyên liên quan đến ghi Bảng dưới đây cho thấy các loại bản ghi tài nguyên mới được sử dụng với DNSSEC. Resource Description kiểu ghi chữ ký kỷ lục Resource (RRSIG) Chữ ký được tạo ra với DNSSEC được chứa trong các hồ sơ RRSIG. Mỗi bản ghi RRSIG là phù hợp với một kỷ lục khác trong vùng mà nó cung cấp một chữ ký kỹ thuật số. Khi một giải quyết các vấn đề một truy vấn cho một cái tên, một hoặc nhiều bản ghi RRSIG được trả về trong các phản ứng. Tiếp Secure (NSEC) Một NSEC kỷ lục được sử dụng để chứng minh không tồn tại của một tên DNS. Ghi NSEC ngăn chặn các cuộc tấn công giả mạo được dự định để đánh lừa khách hàng DNS tin rằng một tên DNS không tồn tại. Tiếp an toàn 3 (NSEC3) NSEC3 là một sự thay thế hoặc thay thế cho NSEC có thêm các lợi ích của việc ngăn chặn "vùng đi bộ" mà là quá trình lặp đi lặp lại NSEC truy vấn để lấy tất cả các tên trong một khu vực. Một máy chủ DNS đang chạy Windows Server 2012 hoặc một hệ điều hành sau này hỗ trợ cả NSEC và NSEC3. Một vùng có thể được ký kết với một trong hai hoặc NSEC3 NSEC, nhưng không phải cả hai. Tiếp an toàn 3 Parameter (NSEC3PARAM) Biên bản NSEC3PARAM được sử dụng để xác định NSEC3 hồ sơ bao gồm trong ứng phó với tên DNS không tồn tại. DNS Key (DNSKEY) Một DNSKEY bản ghi tài nguyên lưu trữ một khóa mật mã công khai được sử dụng để xác minh chữ ký. Các kỷ lục DNSKEY được sử dụng bởi một máy chủ DNS trong quá trình xác nhận. DNSKEY hồ sơ có thể lưu trữ các khóa công cộng cho một phím ký zone (ZSK) hoặc một phím ký key (KSK). Đoàn Người ký (DS) Một DS ghi là một kiểu ghi DNSSEC được sử dụng để đảm bảo một đoàn. DS hồ sơ được sử dụng để xây dựng các chuỗi xác thực để khu trẻ em. Ngoài ra các bản ghi tài nguyên liên quan đến DNSSEC Với ngoại lệ của hồ sơ DS, tất cả các hồ sơ này được thêm vào một khu vực tự động khi nó được ký kết với DNSSEC. Biên bản DS là một kỷ lục đặc biệt có thể được tự thêm vào một khu cha mẹ để tạo ra một đoàn đại biểu an toàn cho một khu vực con. Ví dụ, các khu contoso.com có thể chứa một bản ghi DS cho secure.contoso.com; Tuy nhiên kỷ lục này hoặc là phải được tạo ra trong các khu phụ huynh, hoặc tạo ra trong một khu vực con và sau đó truyền đến các vùng phụ huynh. Các kỷ lục DS không được tự động tạo ra khi bạn đăng ký một vùng. NSEC hoặc hồ sơ NSEC3 sẽ được tự động thêm vào một khu vực trong khu ký. Tuy nhiên, một khu ký không thể có cả hai NSEC và NSEC3 hồ sơ. Các loại hồ sơ (NSEC hoặc NSEC3) cho vào giỏ hàng phụ thuộc vào cách khu ký được cấu hình. Trong ví dụ trước, khu vực được ký bằng NSEC3. Tin tưởng neo DNSKEY và DS ghi tài nguyên cũng được gọi là neo tin tưởng hoặc điểm tin tưởng. Một anchor tín chấp phải được phân phối cho tất cả các máy chủ DNS nonauthoritative rằng sẽ thực hiện DNSSEC xác nhận các phản hồi DNS cho một khu vực đã ký kết. Nếu máy chủ DNS đang chạy trên một bộ điều khiển tên miền, neo niềm tin được lưu trữ trong các thư mục phân vùng rừng trong Active Directory Domain Services (AD DS) và có thể được nhân rộng đến tất cả các bộ điều khiển miền trong rừng. Trên các máy chủ DNS độc, neo niềm tin được lưu trữ trong một tập tin có tên TrustAnchors.dns. Một máy chủ DNS đang chạy Windows Server 2012 hoặc một hệ điều hành sau này cũng sẽ hiển thị neo niềm tin cấu hình trong DNS Manager cây giao diện điều khiển trong Trust Points container. Bạn cũng có thể sử dụng Windows PowerShell hoặc dnscmd.exe để xem neo tin tưởng. (Lưu ý: dnscmd.exe bị phản đối và có thể được loại bỏ trong một phiên bản tương lai của Windows Server) Các ví dụ sau đây cho thấy Windows PowerShell cmdlet Get-DnsServerTrustAnchor. PS C: > Get-DnsServerTrustAnchor -Tên secure.contoso.com TrustAnchorName TrustAnchorType TrustAnchorState TrustAnchorData --------------- --------------- ---- ------------ --------------- secure.contoso.com. DNSKEY Valid [15.952] [DNSSEC] [RsaSha256] [AwEAAe3JOsLYe17k ... secure.contoso.com. DNSKEY Valid [38.431] [DNSSEC] [RsaSha256] [AwEAAdsXYyqxjwBc ... Để xem tất cả các điểm tín nhiệm hiện tại trên một máy chủ, bạn có thể sử dụng lệnh Get-DnsServerTrustPoint. PS C: > Get-DnsServerTrustPoint TrustPointName TrustPointState LastActiveRefreshTime NextActiveRefreshTime - ------------ --------------- --------------------- - ------------------- secure.contoso.com. Hoạt động 2013/10/11 04:44:21 2013/10/15 11:22:27 Để biết thông tin về cách sử dụng DNSSEC các bản ghi tài nguyên mới để xác nhận và phản hồi DNS an toàn, xem phần sau. Xác nhận của phản ứng DNS Các hình sau và bảng cung cấp một minh họa đơn giản về cách DNSSEC có thể được kết hợp vào các truy vấn DNS và quá trình phản ứng để cung cấp xác nhận. Trong ví dụ, một máy khách DNS truy vấn một đệ quy (caching) máy chủ DNS, mà lần lượt trong các truy vấn các máy chủ DNS có thẩm quyền trước khi trả lại một phản ứng. Ví dụ này giả định rằng dữ liệu DNS chưa được lưu trữ trên máy khách hoặc máy chủ. Nếu một khu vực được ký kết với DNSSEC, và nếu máy chủ DNS và khách hàng là DNSSEC-aware, sau đó dữ liệu có thể được sử dụng DNSSEC để xác nhận rằng phản ứng DNS là chính hãng. Hình dưới đây cho thấy quá trình truy vấn DNS đệ quy. DNS Query Bảng sau đây cho thấy các bước trong một truy vấn DNS và ứng phó với các dữ liệu DNSSEC tùy chọn. Bước kiếm phản ứng dữ liệu DNSSEC Tùy chọn 1 A DNS client sẽ gửi một truy vấn DNS đến một máy chủ DNS đệ quy. Các máy khách DNS có thể chỉ ra rằng nó là DNSSEC-aware (DO = 1). 2 Các máy chủ DNS đệ quy sẽ gửi một truy vấn DNS để tên miền gốc và cấp cao nhất (TLD) các máy chủ DNS. Các máy chủ DNS đệ quy có thể chỉ ra rằng nó là DNSSEC-aware (DO = 1). 3 Các máy chủ gốc và TLD trả về một DNS đáp ứng với các máy chủ DNS đệ quy cung cấp địa chỉ IP của máy chủ DNS có thẩm quyền đối với khu vực. Authoritative máy chủ cho các vùng phụ huynh có thể chỉ ra rằng khu vực con được ký bằng DNSSEC và bao gồm một phái đoàn an toàn (DS ghi). 4 Các máy chủ DNS đệ quy sẽ gửi một truy vấn DNS đến máy chủ DNS có thẩm quyền đối với khu vực. Các máy chủ DNS đệ quy có thể chỉ ra rằng nó là DNSSEC-aware (DO = 1) và có khả năng chứng thực bản ghi tài nguyên ký (CD = 1) để được gửi trong các phản ứng. 5 Các máy chủ DNS có thẩm quyền trả lại một phản ứng DNS đến máy chủ DNS đệ quy, cung cấp dữ liệu bản ghi tài nguyên.