インターネットのWebページにアクセスするときは常に、DNSを使用してそのアドレスを取得しています。ほとんどの人はDNSとは何か、DNSがどのように機能するかを知っているかもしれません。他の人にとっては、Techglimpseによって説明された簡単なチュートリアルがあります。 DNSサーバーのセットアップを計画している場合は、ここでBIND構成を確認してください。常連の読者の1人であるShyam氏から、「再帰DNSとは何ですか?」というクエリが送信されました。有効にする必要がありますか?
Ok!再帰DNSについて、そしてなぜそれを有効にすべきではないのかについて意見を述べさせてください。
その前に、再帰リクエストと反復リクエストとは何かを知っておく必要があります。 再帰的なリクエスト :ドメインにクエリを実行するたびに、DNSサーバーはローカルキャッシュでドメインのアドレスを検索しようとします。見つからない場合は、アドレスが見つかるまでクエリが他のDNSサーバーに再帰的に送信されます。アドレスが見つかると、各サーバーのクエリの結果で応答します。この再帰クエリは再帰リクエストと呼ばれます。
反復リクエスト: DNSサーバーは、ローカルキャッシュでドメインを見つけようとします。アドレスが見つからない場合は、その時点で停止し、「サーバーが見つかりませんでした」としてリクエスターに戻ります。
なぜ再帰DNSを有効にすべきではないのですか?
fasthostsが再帰DNSについて言うことは次のとおりです:
Servers that support this type of request are vulnerable to fake requests from a spoofed IP address (the victim of the attack), the spoofed IP address can get overwhelmed by the number of DNS results it receives and be unable to serve regular internet traffic. This is called an Amplifier attack because this method takes advantage of DNS servers to reflect the attack onto a target while also amplifying the volume of packets sent to the victim. A consequence of this activity is that third party Network administrators who detect these requests may block your IP addresses. Your server could even be placed upon DNS blacklists.
DNSサーバーで再帰をオフにする必要がありますか?
DNSサーバーで再帰ルックアップをオフにすると、そのような偽の要求はすべて反復DNSクエリとして扱われます。それは引き続きDNSサーバーですが、被害者に対する増幅された攻撃を支援することはありません。
バインドで再帰をオフにする方法
$vi /etc/named.conf
optionsディレクティブで、再帰番号を設定します;
options {
.......
recursion no;
........
} 名前付きサービスを再起動します
$/etc/init.d/named restart
または
rndc reload
Windows Server 2012では、Powershellで次のコマンドを実行します
Set-DnsServerRecursion -Enable 0
Windows Server 2003および2008で、コマンドラインを起動し、以下のコマンドを実行します。
dnscmd <Server name> /Config /NoRecursion 1
次もお読みください:BIND DNSサーバーのログを有効にしてクエリを監視し、トラブルシューティングを行う方法