作者 主題: [問題]bind recursive  (閱讀 5472 次)

0 會員 與 1 訪客 正在閱讀本文。

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
[問題]bind recursive
« 於: 2002-12-09 14:18 »
請問一下,
在bind 8下,
all recursive需不需要開放給非授權者來查詢?!

bind 8預設是開放的.

找了很多討論,
都只說 在上游的dns不需要,
那其他的呢?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17454
    • 檢視個人資料
    • http://www.study-area.org
[問題]bind recursive
« 回覆 #1 於: 2002-12-09 15:57 »
說實在的,這個我也不清楚...

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
[問題]bind recursive
« 回覆 #2 於: 2002-12-09 16:23 »
假如你有把內外DNS分開,
你希望別人用你外部的DNS去查詢非你負責的Domain嗎?
(就是當成公用的DNS主機)

都沒人注意到這部份嗎?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17454
    • 檢視個人資料
    • http://www.study-area.org
[問題]bind recursive
« 回覆 #3 於: 2002-12-09 16:33 »
若是光從查詢角度來說,我個人是覺得無所謂啦~~~
但安全方面才是我要考慮的:
1) recursive mode 會否帶來 DoS 或 Buffer Overflow 等問題?
2) 是否能查到內部的重要資訊?

嗯,經 duncan 兄提醒,的確是需要注意的。
但若是該 DNS 也作為內部 client 的 resolver 呢?是否需要打開?若是可行的話,那最好另外提供 cache server 了...

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
[問題]bind recursive
« 回覆 #4 於: 2002-12-09 16:46 »
引述: "netman"
若是光從查詢角度來說,我個人是覺得無所謂啦~~~
但安全方面才是我要考慮的:
1) recursive mode 會否帶來 DoS 或 Buffer Overflow 等問題?
2) 是否能查到內部的重要資訊?

嗯,經 duncan 兄提醒,的確是需要注意的。
但若是該 DNS 也作為內部 client 的 resolver 呢?是否需要打開?若是可行的話,那最好另外提供 cache server 了...


惡意的查詢,
就是用你的dns去dump整個.com .net這些大的zone,
這樣會吃光你的ram跟swap甚至頻寬.

對內的dns要開放recursive(就是用預設值),
不然內部client除了自己的domain外都查不到其他的,
然後再依client的查詢數量考慮要不要架cache server.