J'essaie de comprendre comment fonctionne la liaison, mais je n'ai pas pu trouver d'informations précises sur la différence entre les requêtes récursives et le «transfert».
J'ai lu qu'autoriser globalement les requêtes récursives est mauvais car il autorise les attaques ddos. Mais n'est-ce pas la même chose pour le transfert? Ou la transmission est-elle un prérequis pour les requêtes récursives?
bind
domain-name-system
Raphael Schweikert
la source
la source
Réponses:
En un mot:
Transfert: transmet simplement la requête DNS à un autre serveur DNS (par exemple, votre FAI). Les routeurs domestiques utilisent le transfert pour transmettre les requêtes DNS des clients de votre réseau domestique aux serveurs DNS de votre FAI. Par exemple, pour foo.example.com, un serveur DNS de transfert vérifierait d'abord son cache (a-t-il déjà posé cette question auparavant), et si la réponse n'est pas dans son cache, il demanderait à son redirecteur (le serveur DNS de votre FAI) pour la réponse, qui répondrait soit par une réponse mise en cache, soit effectuerait une récursivité jusqu'à ce qu'elle trouve la réponse.
Récursivité: le serveur DNS recevant la requête prend sur lui de trouver la réponse à cette requête en interrogeant récursivement les serveurs DNS faisant autorité pour ce domaine. Par exemple, pour foo.example.com, un récurseur interrogerait d'abord les serveurs racine pour savoir quels serveurs DNS sont responsables du TLD .com, puis il demanderait à ces serveurs example.com, puis il interrogerait les serveurs par exemple. com pour foo.example.com, obtenant enfin la réponse à la requête d'origine.
En termes de sécurité, vous devez séparer les récurseurs / redirecteurs (généralement les serveurs DNS utilisés pour desservir un groupe de clients) et les serveurs DNS faisant autorité (généralement ceux-ci sont responsables SEULEMENT de la réponse aux requêtes concernant les domaines pour lesquels ils font autorité - ces serveurs ne fonctionneront PAS requêtes récursives pour tous).
J'espère que cela clarifie un peu les choses ...
la source
CNAME
s?