全球 WKS (Well Known Service) 查詢
WKS (Well Known Service) 紀錄是一種嚴重棄用、極度僵化的 DNS 紀錄類型,在 RFC 1035 的網域名稱系統初步草案期間引入。其主要的工程目標是將特定 IP 位址公開對應到已定義的受支援網際網路協定清單(特別是 TCP 或 UDP),並公開宣告其各自的開放連接埠。例如,管理員可以使用 WKS 紀錄來廣播位於 192.168.1.100 的伺服器正在主動支援連接埠 25 上的 SMTP 和連接埠 21 上的 FTP。
連線前資源最佳化
在網路運算的早期,透過頻寬有限、高延遲的 ARPANET 連線建立 TCP Handshake 是非常耗費運算資源且速度極慢的。WKS 紀錄被設計為一種效率捷徑 (efficiency hack)。它允許用戶端應用程式查詢輕量級、基於 UDP 的 DNS 層,以在嘗試將流量路由到遠端伺服器之前,驗證該伺服器是否實際支援特定服務。如果使用者嘗試啟動 Telnet 工作階段,但該網域的 WKS 紀錄未在其位元對應 (bitmap) 中明確列出連接埠 23,則本機用戶端應用程式可以立即中止連線嘗試。這防止了用戶端在等待網路逾時時掛起,節省了跨大西洋鏈路上寶貴的頻寬。
位元對應瓶頸 (Bitmap Bottleneck)
WKS 紀錄的致命缺陷在於其底層資料結構。Payload 被編碼為高度僵化的二進位位元對應,其中每個位元對應於由網際網路號碼分配局 (IANA) 定義的特定連接埠號碼。隨著網際網路服務變得越來越複雜,這種格式變得難以置信地笨重,人類管理員幾乎無法手動維護。每次系統管理員安裝新服務或關閉連接埠時,他們都必須重新產生位元對應、更新區域序號,並等待全球 DNS 傳播,只為了反映伺服器的準確狀態。管理負擔大大超過了頻寬的節省。
安全風險與 SRV 的取代
與 HINFO 紀錄非常相似,WKS 協定對網路安全完全視而不見。將伺服器上每個開放連接埠的全面純文字清單直接發佈到公共 DNS 層,等於為駭客提供了一份預先掃描的詳盡偵察地圖。它完全繞過了對 Nmap 等吵雜、易於偵測的連接埠掃描器的需求。意識到這些關鍵的架構和安全缺陷後,IETF 在發佈 RFC 1123 時正式宣布 WKS 紀錄已作廢 (obsolete)。將特定服務和連接埠對應到網域名稱的需求後來被完全轉移到 SRV (Service) 紀錄上。SRV 紀錄提供了無限大的靈活性,允許動態連接埠指派、負載平衡權重和優先權容錯移轉,而無需暴露目標機器的整個底層連接埠設定檔。像 BIND9 或 CoreDNS 這樣的現代 DNS 軟體會完全忽略 WKS 格式。