Ogni volta che visiti una pagina Web in Internet, stai utilizzando il DNS per ottenere il suo indirizzo. La maggior parte di voi potrebbe essere a conoscenza di cos'è il DNS e di come funziona e per altri c'è un semplice tutorial spiegato da Techglimpse. Nel caso, se hai intenzione di configurare il server DNS, controlla la configurazione di BIND qui. Uno dei nostri lettori abituali, il signor Shyam, ci ha inviato una domanda, che cos'è il DNS ricorsivo? e devo abilitarlo?
Ok! Permettetemi di esprimere la mia opinione sul DNS ricorsivo e perché non dovreste abilitarlo?
Prima di ciò, dovremmo sapere cosa sono Richieste ricorsive e Richieste iterative. Richieste ricorsive :ogni volta che esegui una query su un dominio, il server DNS proverà a trovare l'indirizzo per il dominio nella sua cache locale. Se non riesce a trovare, la query viene inviata ad altri server DNS in modo ricorsivo fino a quando non viene trovato l'indirizzo. Una volta trovato l'indirizzo, risponderà con i risultati della query di ciascun server. Questa query ricorsiva viene chiamata Richieste ricorsive.
Richieste iterative: Il server DNS proverà a trovare il dominio nella sua cache locale e se non riesce a trovare l'indirizzo, si fermerà a quel punto e tornerà ai richiedenti come "Non sono riuscito a trovare il server".
Perché non dovresti abilitare il DNS ricorsivo?
Ecco cosa dice Fasthosts sul DNS ricorsivo:
Servers that support this type of request are vulnerable to fake requests from a spoofed IP address (the victim of the attack), the spoofed IP address can get overwhelmed by the number of DNS results it receives and be unable to serve regular internet traffic. This is called an Amplifier attack because this method takes advantage of DNS servers to reflect the attack onto a target while also amplifying the volume of packets sent to the victim. A consequence of this activity is that third party Network administrators who detect these requests may block your IP addresses. Your server could even be placed upon DNS blacklists.
Devo disattivare ricorsivo sul mio server DNS?
Se disattivi la ricerca ricorsiva sul tuo server DNS, tutte le richieste false vengono trattate come query DNS iterative. Sarà ancora un server DNS, ma non aiuterà gli attacchi amplificati a una vittima.
Come disattivare la ricorsione in Bind?
$vi /etc/named.conf
Nella direttiva opzioni, imposta la ricorsione no;
options {
.......
recursion no;
........
} Riavvia il servizio denominato
$/etc/init.d/named restart
o
rndc reload
Su Windows Server 2012, esegui il comando seguente in Powershell,
Set-DnsServerRecursion -Enable 0
Su Windows Server 2003 e 2008, avvia la riga di comando ed esegui il comando seguente,
dnscmd <Server name> /Config /NoRecursion 1
Potresti anche leggere: Come abilitare la registrazione del server DNS BIND per monitorare le query e per la risoluzione dei problemi?