Qual é a diferença entre recursão e encaminhamento no bind

10

Estou tentando entender como o bind funciona, mas não consegui encontrar informações definidas sobre a diferença entre consultas recursivas e "encaminhamento".

Eu li que permitir consultas recursivas globalmente é ruim porque permite ataques de ddos. Mas não é o mesmo para encaminhamento? Ou o encaminhamento é um pré-requisito para consultas recursivas?

Raphael Schweikert
fonte

Respostas:

21

Em poucas palavras:

Encaminhamento: apenas passa a consulta DNS para outro servidor DNS (por exemplo, seus ISPs). Os roteadores domésticos usam o encaminhamento para passar consultas DNS dos clientes da sua rede doméstica para os servidores DNS do seu ISP. Por exemplo, para foo.example.com, um servidor DNS de encaminhamento primeiro verifica seu cache (ele já fez essa pergunta antes) e, se a resposta não estiver no cache, solicita ao encaminhador (servidor DNS do seu ISP) para a resposta, que responderia com uma resposta em cache ou executaria recursão até descobrir a resposta.

Recursão: o servidor DNS que recebe a consulta decide descobrir a resposta para essa consulta consultando recursivamente servidores DNS autoritativos para esse domínio. Por exemplo, para foo.example.com, um recursor consultaria primeiro os servidores raiz por quais servidores DNS são responsáveis ​​pelo TLD .com, depois perguntaria a esses servidores por exemplo.com, depois consultaria os servidores por exemplo. com para foo.example.com, finalmente obtendo a resposta para a consulta original.

Em termos de segurança, você deve separar recursores / encaminhadores (geralmente servidores DNS usados ​​para atender a vários clientes) e servidores DNS autoritativos (normalmente, eles são responsáveis ​​APENAS por responder a perguntas sobre domínios que têm autoridade - esses servidores NÃO executam consultas recursivas para qualquer pessoa).

Espero que isso esclareça um pouco as coisas ...

Rouben
fonte
Sim, muito obrigado por esta explicação detalhada. As consultas recursivas também resolvem CNAMEs?
Raphael Schweikert
Sim, qualquer tipo de registro DNS.
Rouben 26/01