酷!學園
技術討論區 => 系統安全討論版 => 主題作者是: duncanlo 於 2002-12-09 14:18
-
請問一下,
在bind 8下,
all recursive需不需要開放給非授權者來查詢?!
bind 8預設是開放的.
找了很多討論,
都只說 在上游的dns不需要,
那其他的呢?
-
說實在的,這個我也不清楚...
-
假如你有把內外DNS分開,
你希望別人用你外部的DNS去查詢非你負責的Domain嗎?
(就是當成公用的DNS主機)
都沒人注意到這部份嗎?
-
若是光從查詢角度來說,我個人是覺得無所謂啦~~~
但安全方面才是我要考慮的:
1) recursive mode 會否帶來 DoS 或 Buffer Overflow 等問題?
2) 是否能查到內部的重要資訊?
嗯,經 duncan 兄提醒,的確是需要注意的。
但若是該 DNS 也作為內部 client 的 resolver 呢?是否需要打開?若是可行的話,那最好另外提供 cache server 了...
-
若是光從查詢角度來說,我個人是覺得無所謂啦~~~
但安全方面才是我要考慮的:
1) recursive mode 會否帶來 DoS 或 Buffer Overflow 等問題?
2) 是否能查到內部的重要資訊?
嗯,經 duncan 兄提醒,的確是需要注意的。
但若是該 DNS 也作為內部 client 的 resolver 呢?是否需要打開?若是可行的話,那最好另外提供 cache server 了...
惡意的查詢,
就是用你的dns去dump整個.com .net這些大的zone,
這樣會吃光你的ram跟swap甚至頻寬.
對內的dns要開放recursive(就是用預設值),
不然內部client除了自己的domain外都查不到其他的,
然後再依client的查詢數量考慮要不要架cache server.