Immer wenn Sie eine Webseite im Internet besuchen, verwenden Sie DNS, um ihre Adresse zu erhalten. Die meisten von Ihnen wissen vielleicht, was DNS ist und wie es funktioniert, und für andere gibt es ein einfaches Tutorial, das von Techglimpse erklärt wird. Falls Sie vorhaben, einen DNS-Server einzurichten, überprüfen Sie die BIND-Konfiguration hier. Einer unserer regelmäßigen Leser, Herr Shyam, schickte uns eine Anfrage:Was ist rekursives DNS? und sollte ich es aktivieren?
In Ordnung! Lassen Sie mich meine Meinung zu rekursivem DNS sagen und warum Sie es nicht aktivieren sollten?
Davor sollten wir wissen, was rekursive Anfragen und iterative Anfragen sind. Rekursive Anfragen Hinweis:Wenn Sie eine Domain abfragen, versucht der DNS-Server, die Adresse für die Domain in seinem lokalen Cache zu finden. Wenn er sie nicht finden kann, wird die Abfrage rekursiv an andere DNS-Server gesendet, bis die Adresse gefunden wird. Sobald es die Adresse gefunden hat, antwortet es mit den Ergebnissen der Abfrage jedes Servers. Diese rekursive Abfrage wird als rekursive Anfragen bezeichnet.
Iterative Anfragen: Der DNS-Server versucht, die Domäne in seinem lokalen Cache zu finden, und wenn er die Adresse nicht finden kann, hält er an diesem Punkt an und gibt den Anforderern die Meldung „Ich konnte den Server nicht finden“ zurück.
Warum sollten Sie rekursives DNS nicht aktivieren?
Hier ist, was fasthosts über rekursives DNS sagt:
Servers that support this type of request are vulnerable to fake requests from a spoofed IP address (the victim of the attack), the spoofed IP address can get overwhelmed by the number of DNS results it receives and be unable to serve regular internet traffic. This is called an Amplifier attack because this method takes advantage of DNS servers to reflect the attack onto a target while also amplifying the volume of packets sent to the victim. A consequence of this activity is that third party Network administrators who detect these requests may block your IP addresses. Your server could even be placed upon DNS blacklists.
Soll ich Rekursiv auf meinem DNS-Server deaktivieren?
Wenn Sie die rekursive Suche auf Ihrem DNS-Server deaktivieren, werden solche gefälschten Anfragen als iterative DNS-Abfrage behandelt. Es wird immer noch ein DNS-Server sein, aber verstärkte Angriffe auf ein Opfer nicht unterstützen.
Wie deaktiviere ich die Rekursion in Bind?
$vi /etc/named.conf
Setzen Sie unter Optionsdirektive die Rekursion Nr.;
options {
.......
recursion no;
........
} Starten Sie den benannten Dienst neu
$/etc/init.d/named restart
oder
rndc reload
Führen Sie unter Windows Server 2012 den folgenden Befehl in Powershell aus,
Set-DnsServerRecursion -Enable 0
Starten Sie auf Windows Server 2003 und 2008 die Befehlszeile und führen Sie den folgenden Befehl aus,
dnscmd <Server name> /Config /NoRecursion 1
Vielleicht möchten Sie auch lesen:Wie aktiviere ich die Protokollierung des BIND-DNS-Servers, um Abfragen zu überwachen und Fehler zu beheben?