Bind关闭递归查询

最新推荐文章于 2023-11-13 19:37:16 发布
原创 最新推荐文章于 2023-11-13 19:37:16 发布 · 604 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维

观察DNS查询日志发现一个非本地提供服务的ZONE查询,开始采取iptables禁止掉此IP,第二天又有另一IP对此ZONE查询,看来得从根本上解决这个问题。
我的bind起初设置
[quote]allow-recursion { any; };[/quote]允许递归查询

更改配置
方法一:
在options中设置
[quote]recursion yes;[/quote]
在view中设置
[quote]allow-recursion { none; };[/quote]

方法二:
在options中设置
[quote]recursion no;[/quote]

这时Bind变成迭代查询,返回根DNS信息。

[quote]
If recursion is set to 'yes' (the default) the server will always provide recursive query behaviour if requested by the client (resolver). If set to 'no' the server will only provide iterative query behaviour - normally resulting in a referral. If the answer to the query already exists in the cache it will be returned irrespective of the value of this statement. This statement essentially controls caching behaviour in the server. The allow-recursion statement and the view clauses can provide fine-grained control. This statement may be used in a view or a global options clause.
[/quote]

[url]http://www.zytrax.com/books/dns/ch7/queries.html[/url]

最后记得重新加载配置并清除缓存
[quote]
reload Reload configuration file and zones.
reload zone [class [view]]
Reload a single zone.
flush Flushes all of the server's caches.
flush [view] Flushes the server's cache for a view.
[/quote]

/byread/bin/bind/sbin/rndc reload
/byread/bin/bind/sbin/rndc flush
DNS之BIND使用小结(Forward转发)
weixin_34407348的博客
07-24 3637
  之前详细介绍了DNS及其在linux下的部署过程,今天再说下DNS的BIND高级特性-forwarder转发功能。比如下面一个案例:1)已经在测试环境下部署了两台内网DNS环境,DNS的zone域名为kevin.cn:http://www.cnblogs.com/kevingrace/p/5570312.html2)测试机器的DNS地址已经调整为这两台DNS地址,所以测试机访问kevin.cn...
关闭bind 递归查询 加固其安全
fred's blog
11-17 5799
<br />默认情况下 bind关闭了 转发查询,但是递归查询是开启的,由于公司的服务器是只针对公司的域名进行服务的,它不是公共DNS 所以没有必要开放递归查询功能。<br />关于递归查询与迭代查询的区别,看看定义。<br />递归查询:A->B->C->D->E 然后B 告诉A 地址<br />转发查询:A-->B A->C A->D A->E 然后A 得到地址。<br />所以如果我们的DNS负载很重的话,关闭递归查询是不错的建议。<br />怎么关呢?<br />allow-recursion {
dns迭代查询递归查询
系统运维
10-29 560
递归查询:返回的结果必须是“所查域名和对应IP的映射关系”或者“查询未果” 迭代查询:返回的结果可以是其他DNS服务器的IP 递归查询和迭代查询另一个区别是每次做查询的时候“发起查询的”角色不同 对于递归查询,一般是本地的客户端,本地的客户端查看本地hosts文件或者缓存未找到后,会向本地DNS服务器发送DNS查询,发起方式本地的客户端。 对于迭代查询,一般是本地的DNS服务器(由运营商指...
dns解析?瞅瞅这篇文章
龙叔运维的博客
12-09 383
dns(Domain Name System),顾名思义,就是用来将主机名和域名转换为IP地址的系统,那么dns是怎么运作的呢,本文简单记录下龙叔的理解 推荐我的公众号:龙叔18岁 1·研究环境 为了研究dns,当然要自己搭建一个dns服务器去做模拟实验了,我这里准备了三个服务器做实验。 192.168.30.135作为正常的服务器,192.168.30.128,192.168.30.133用bind搭建成dns服务器,搭建步骤如下: 1·安装:yum install bind 2·修改/et.
BIND
weixin_34408624的博客
08-15 1013
Chapter1 基础1.1 常见问题1.1.1 域名对应的IP地址修改完要将近一天的时间才能有效果?因为DNS的数据库一般来讲是在跑在DNS服务器的内存当中的,但是我们如果临时增加一条的话其实是写到了硬盘当中,当数据库服务刷新的时候新增的新记录才会被记录到内存当中。这其实也会是与DNS的缓存有关系的,举个例子你的主机在.com下注册了域名1.1.1.1,后来又换...
bind详细学习
wolf
04-17 2379
DNS DNS:Domain Name Service 应用层协议(C/S,53/udp, 53/tcp) 域名 分类:最多可以有127级域名 根域 一级域名:Top Level Domain(tld)顶级域 组织域:.com,。gov,.edu,.mil,.net 国家域:.cn,.jp 反向域:arpa 二级域名 三级域名 域名.jpg 解析 查询类型: ...
[Linux系列|DNS]DNS详解②
qq_43714097的博客
09-20 1828
DNS LINUX 运维
BIND9 递归查询超时机制
baiguomeng
07-22 795
static inline void fctx_setretryinterval(fetchctx_t *fctx, unsigned int rtt) { unsigned int seconds; unsigned int us; /* * We retry every .8 seconds the first two times through the address * l...
DNS(一)之禁用权威域名服务器递归解析
weixin_34255793的博客
11-05 1697
DNS dns是互联网中最核心的带层级的分布式系统,负责把域名解析成ip,把IP解析出域名,以及宣告邮件路由信息等等,使得使用域名访问网站,收发邮件成了可能。 bind(berkeley Internet Name Domain) 是流行与linux上的域名解析服务。 禁用权威域名服务器递归解析 首先解析下什么是递归解析和迭代解析,本人也经常搞混,但是还得记下来,在了解递归和迭代之前,先聊下下DN...
DNS
m0_59332472的博客
11-13 232
利用一种名字解析服务将名称转化成(解析)成IP地址。从而我们就可以利用名称来直接访问网络中设备 当主机IP变化时,只需要修改名称服务即可,用户仍可以通过原有的名称进行访问而不受影响。
DNS BIND之recursion递归
热门推荐
任何技能都是从模仿开始,逐步升华。
04-15 2万+
一般客户机和服务器之间属递归查询,当客户机向DNS服务器发出请求后,若DNS服务器本身不能解析,则会向另外的DNS服务器发出查询请求,得到结果后转交给客户机。主机向本地域名服务器的查询一般都是采用递归查询。默认情况下bind关闭了转发查询,但是递归查询是开启的。
【转】Linux下的DNS安全保障十大技巧
蓝色天空下的天涯人!
05-25 1175
(1)限制名字服务器递归查询功能关闭递归查询可以使名字服务器进入被动模式,它再向外部的DNS发送查询请求时,只会回答自己授权域的查询请求,而不会缓存任何外部的数据,所以不可能遭受缓存中毒攻击,但是这样做也有负面的效果,降低了DNS的域名解析速度和效率。以下语句仅允许172.168.10网段的主机进行递归查询:allow-recusion {172.168.10.3/24
使用BIND在阿里云上部署双栈递归&权威DNS
qq_42883068的博客
03-05 1030
【环境说明】 阿里云ECS服务器:CentOS7.7 x64 (双栈环境) 如果没有双栈阿里云环境,可以根据链接进行搭建:阿里云部署IPv4&IPv6 双栈环境 【编译安装环境】 yum install -y gcc #安装编译器 yum install -y openssl-devel #安装openssl-devel 【下载并编译安装递归DNS】 1)获取安装包 wget ...
bind---dns服务器
教Linux的李老师
09-01 5125
bind---dns服务器A记录CNAMEDNS工作模式正向解析模式反向解析模式主服务--根服务器主服务-CDN,分离解析技术从服务器缓存服务器向DNS服务器发起域名查询请求的流程TSIG加密**安装Bind服务程序**配置bind编辑bind主配置文件编辑区域配置文件新建正向解析文件新建反向解析文件编辑正向解析文件 A记录 将域名解析到一个IP地址上 CNAME 将域名解析到一个别名上 DNS工作模式 正向解析模式 将域名解析为IP地址 正常情况下,我们的99.99%都是正向解析 ​ 反向解
linux bind查看dns缓存,Linux-BIND(域名解析服务) – Ethan's blog
weixin_34419203的博客
05-13 1857
域名服务器分为三类:主服务器在特定的区域内具有唯一性,负责维护该区域内的域名与IP地址之间的对应关系;从服务器从主服务器中获得域名与IP地址的对应关系并进行维护,以防主服务器宕机等情况;缓存服务器通过向其它域名解析服务器查询获得域名与IP地址的对应关系,并将经常查询的域名信息保存到服务器本地,以此来提高重复查询时的效率;DNS请求具有递归查询和迭代查询两种。BIND(Berkeley Intern...
问题描述:远端DNS服务允许递归查询。 如果这是一台内部DNS服务器,可以忽略本次告警。 DNS服务允许递归查询时,任何人可使用它来解析第三方全称域名(FQDN),攻击者可以伪造DNS报文刷新DNS Server Cache,这存在潜在的安全风险。 解决方法:建议您采取以下措施以降低威胁: * 限制这台主机的递归查询 具体方法为: 1. 如果你使用 bind 8,可以在“named.conf”文件(缺省路径是/etc/named.conf)的“options”里使用“allow-recursion”来进行限制。 例如,您可以只允许自己本地主机以及内部主机进行递归查询,其他主机则不允许递归查询: options { allow-recursion { 192.168.196.0/24; localhost; }; }; 注意:在修改完配置文件之后,需要重新启动named。 2. 如果您使用的是Windows DNS Server,可以通过修改注册表来将其配置为非递归DNS Server。 只要将注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\DNS\Parameters的RecursionNO的值设定为ture.默认是false。 当有合法的解析器使用DNS服务器,或其它合法的DNS服务器将这个DNS服务器作为传递服务器(forwarder)时,不应关闭递归查询,如果不能关闭递归查询,就需要进行对进行递归查询的IP地址作出限制。如果递归查询请求来自不允许的IP地址,则DNS服务器将此查询以非递归查询对待。 3. 如果使用其它版本的Name Server,请参考相应的文档。 用的是麒麟系统
最新发布
04-29
在麒麟系统中配置DNS服务器限制递归查询,需通过修改BIND的`named.conf`配置文件实现。以下是具体操作步骤: ### 一、修改BIND主配置文件 1. **编辑`named.conf`文件** ```bash sudo vim /etc/named.conf ``` 2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值