酷!學園

技術討論區 => 系統安全討論版 => 主題作者是: duncanlo 於 2002-12-09 14:18

主題: [問題]bind recursive
作者: duncanlo 於 2002-12-09 14:18

請問一下,
在bind 8下,
all recursive需不需要開放給非授權者來查詢?!

bind 8預設是開放的.

找了很多討論,
都只說 在上游的dns不需要,
那其他的呢?

主題: [問題]bind recursive
作者: netman 於 2002-12-09 15:57

說實在的，這個我也不清楚...

主題: [問題]bind recursive
作者: duncanlo 於 2002-12-09 16:23

假如你有把內外DNS分開,
你希望別人用你外部的DNS去查詢非你負責的Domain嗎?
(就是當成公用的DNS主機)

都沒人注意到這部份嗎?

主題: [問題]bind recursive
作者: netman 於 2002-12-09 16:33

若是光從查詢角度來說，我個人是覺得無所謂啦~~~
但安全方面才是我要考慮的：
1) recursive mode 會否帶來 DoS 或 Buffer Overflow 等問題？
2) 是否能查到內部的重要資訊？

嗯，經 duncan 兄提醒，的確是需要注意的。
但若是該 DNS 也作為內部 client 的 resolver 呢？是否需要打開？若是可行的話，那最好另外提供 cache server 了...

主題: [問題]bind recursive
作者: duncanlo 於 2002-12-09 16:46

引述: "netman"

若是光從查詢角度來說，我個人是覺得無所謂啦~~~
但安全方面才是我要考慮的：
1) recursive mode 會否帶來 DoS 或 Buffer Overflow 等問題？
2) 是否能查到內部的重要資訊？

嗯，經 duncan 兄提醒，的確是需要注意的。
但若是該 DNS 也作為內部 client 的 resolver 呢？是否需要打開？若是可行的話，那最好另外提供 cache server 了...

惡意的查詢,
就是用你的dns去dump整個.com .net這些大的zone,
這樣會吃光你的ram跟swap甚至頻寬.

對內的dns要開放recursive(就是用預設值),
不然內部client除了自己的domain外都查不到其他的,
然後再依client的查詢數量考慮要不要架cache server.