Ich versuche zu verstehen, wie das Binden funktioniert, konnte jedoch keine eindeutigen Informationen über den Unterschied zwischen rekursiven Abfragen und "Weiterleitung" finden.
Ich habe gelesen, dass das globale Zulassen rekursiver Abfragen schlecht ist, da es ddos-Angriffe zulässt. Aber gilt das nicht auch für die Weiterleitung? Oder ist die Weiterleitung eine Voraussetzung für rekursive Abfragen?
bind
domain-name-system
Raphael Schweikert
quelle
quelle
Antworten:
In einer Nussschale:
Weiterleitung: Übergibt die DNS-Abfrage einfach an einen anderen DNS-Server (z. B. Ihren ISP). Heimrouter verwenden die Weiterleitung, um DNS-Abfragen von den Clients Ihres Heimnetzwerks an die DNS-Server Ihres Internetdienstanbieters weiterzuleiten. Für foo.example.com würde beispielsweise ein weiterleitender DNS-Server zuerst seinen Cache überprüfen (hat er diese Frage bereits zuvor gestellt), und wenn sich die Antwort nicht in seinem Cache befindet, würde er seine Weiterleitung (den DNS-Server Ihres ISP) fragen. für die Antwort, die entweder mit einer zwischengespeicherten Antwort antworten oder eine Rekursion durchführen würde, bis die Antwort herausgefunden wurde.
Rekursion: Der DNS-Server, der die Abfrage empfängt, muss die Antwort auf diese Abfrage herausfinden, indem er autorisierende DNS-Server für diese Domäne rekursiv abfragt. Bei foo.example.com fragt ein Recursor beispielsweise zuerst die Stammserver nach den DNS-Servern ab, die für die .com-TLD verantwortlich sind, fragt dann diese Server nach example.com und fragt dann beispielsweise die Server ab. com für foo.example.com, um endlich die Antwort auf die ursprüngliche Anfrage zu erhalten.
In Bezug auf die Sicherheit sollten Sie Rekursoren / Weiterleitungen (normalerweise DNS-Server, die zur Wartung einer Reihe von Clients verwendet werden) und autorisierende DNS-Server (normalerweise sind diese NUR für die Beantwortung von Fragen zu Domänen verantwortlich, für die sie autorisierend sind - diese Server werden NICHT ausgeführt rekursive Abfragen für jedermann).
Ich hoffe das klärt ein bisschen auf ...
quelle
CNAME
s?