BIND9: Haben Spediteure Priorität?

11

Ich richte gerade meinen BIND9-Server ein und es funktioniert soweit gut. Ich habe beschlossen, ein kleines Gimmick in die Fähigkeiten meines DNS zu integrieren. Ich möchte, dass es IANA-kompatible Domänen wie * .com und * .net vom DNS-Server meines ISP auflöst, aber ich möchte auch OpenNIC-Domänen wie .geek und .project mithilfe eines OpenNIC-DNS-Servers als integrieren Spediteur. Mein Speditionsbereich sieht also im Grunde so aus:

forwarders {
   IP.OF.ISP.DNS;
   IP.OF.OPENNIC.DNS;
}

Trotz der Tatsache, dass OpenNIC-DNS IANA-Domains auflösen kann, möchte ich ihnen nicht vertrauen, da es einfach zu einfach ist, wichtige Domains wie paypal.com oder ebay.com zu entführen. Fordert Bind9 Schritt für Schritt Aufzeichnungen von den Spediteuren an (von der ersten bis zur letzten IP) oder fragt es willkürlich? Ich möchte sicherstellen, dass der DNS meines ISP beim Auflösen von Domänen die höchste Priorität hat.

Gibt es eine Möglichkeit, die DNS-Abfrage direkt auf meinem DNS-Server zu "debuggen", um zu sehen, auf welchem ​​Server die angeforderte Domain gesucht wird?

domain-name-system bind Grindhold
quelle

Antworten:

5

Ich habe das schon einmal nachgeschlagen, aber ich habe momentan Probleme, etwas Besseres zu finden: https://lists.isc.org/pipermail/bind-users/2012-April/087455.html

BIND8 und weiter betrachten, dass jeder der Spediteure mit "gleichem Gewicht" beginnt. Basierend auf der SRTT der Antworten beginnt der Nameserver, einander vorzuziehen. Ein bestimmter Prozentsatz der Abfragen trifft immer die mit der höheren Latenz, um das Wasser erneut zu testen und die berechnete Gewichtspräferenz fair zu halten. (Beachten Sie, dass die Spediteure nach dem Zwischenspeichern eines Datensatzes erst nach Ablauf der TTL erneut konsultiert werden.)

Kurz gesagt, die Weiterleitungsrichtlinie wurde unter Berücksichtigung von Redundanz und minimierter Latenz entwickelt - nicht in einem Active-Standby-Failover-Modell. Dies wird nicht das tun, was Sie wollen, und mir sind keine BIND-Anweisungen zur Neukonfiguration dieses Verhaltens bekannt. Am Ende starre ich ein bisschen auf die BIND-Dokumentation in meiner Arbeit, daher bin ich ziemlich zuversichtlich, was diese Aussage angeht.

Andrew B.
quelle
4
Das heißt, Sie können möglicherweise das erreichen, was Sie versuchen, indem Sie Weiterleitungszonen für jedes der Domain-Suffixe erstellen, die OpenNIC verarbeiten soll. Es ist auch möglich, "Hinweis" -Zonen zu verwenden, aber Sie scheinen daran interessiert zu sein, Upstream-Caches zu verwenden, anstatt die Rekursion selbst zu handhaben.
Andrew B