Kdykoli navštívíte webovou stránku na internetu, pomocí DNS získáte její adresu. Většina z vás možná ví, co je DNS a jak funguje, a pro ostatní existuje jednoduchý návod vysvětlený Techglimpse. V případě, že plánujete nastavit DNS server, zkontrolujte konfiguraci BIND zde. Jeden z našich pravidelných čtenářů pan Shyam nám poslal dotaz, co je rekurzivní DNS? a mám to povolit?
OK! Dovolte mi vyjádřit svůj názor na rekurzivní DNS a proč byste jej neměli povolit?
Předtím bychom měli vědět, co jsou rekurzivní požadavky a iterativní požadavky. Rekurzivní požadavky :Kdykoli zadáte dotaz na doménu, server DNS se pokusí najít adresu pro doménu ve své místní mezipaměti. Pokud nemůže najít, je dotaz odeslán na jiné servery DNS rekurzivně, dokud není adresa nalezena. Jakmile najde adresu, odpoví výsledky z dotazu každého serveru. Toto rekurzivní dotazování se nazývá rekurzivní požadavky.
Opakující se požadavky: DNS server se pokusí najít doménu ve své místní mezipaměti, a pokud nemůže najít adresu, zastaví se v tomto bodě a vrátí se žadatelům jako „Nemohl jsem najít server“.
Proč byste neměli povolit rekurzivní DNS?
Zde je to, co fasthosts říká o rekurzivním DNS:
Servers that support this type of request are vulnerable to fake requests from a spoofed IP address (the victim of the attack), the spoofed IP address can get overwhelmed by the number of DNS results it receives and be unable to serve regular internet traffic. This is called an Amplifier attack because this method takes advantage of DNS servers to reflect the attack onto a target while also amplifying the volume of packets sent to the victim. A consequence of this activity is that third party Network administrators who detect these requests may block your IP addresses. Your server could even be placed upon DNS blacklists.
Mám na svém serveru DNS vypnout rekurzivní?
Pokud na serveru DNS vypnete rekurzivní vyhledávání, budou všechny takové falešné požadavky považovány za iterativní dotaz DNS. Stále to bude DNS server, ale nebude pomáhat zesíleným útokům na oběť.
Jak vypnout rekurzi v Bind?
$vi /etc/named.conf
V direktivě options nastavte rekurzi č.;
options {
.......
recursion no;
........
} Restartujte pojmenovanou službu
$/etc/init.d/named restart
nebo
rndc reload
V systému Windows Server 2012 spusťte níže uvedený příkaz v prostředí Powershell
Set-DnsServerRecursion -Enable 0
Na Windows serveru 2003 a 2008 spusťte příkazový řádek a spusťte níže uvedený příkaz,
dnscmd <Server name> /Config /NoRecursion 1
Mohli byste si také přečíst: Jak povolit protokolování serveru DNS BIND pro sledování dotazů a odstraňování problémů?