Apa perbedaan antara rekursi dan penerusan dalam ikatan

10

Saya mencoba memahami bagaimana bind bekerja tetapi tidak dapat menemukan informasi yang pasti tentang perbedaan antara permintaan rekursif dan "penerusan".

Saya telah membaca bahwa secara global memungkinkan permintaan rekursif adalah buruk karena memungkinkan serangan DDoS. Tetapi tidakkah hal yang sama berlaku untuk penerusan? Atau apakah meneruskan prasyarat untuk permintaan rekursif?

Raphael Schweikert
sumber

Jawaban:

21

Pendeknya:

Penerusan: hanya meneruskan kueri DNS ke server DNS lain (mis. ISP Anda). Router rumah menggunakan penerusan untuk meneruskan permintaan DNS dari klien jaringan rumah Anda ke server DNS ISP Anda. Misalnya, untuk foo.example.com, server DNS penerusan pertama-tama akan memeriksa cache-nya (apakah sudah menanyakan pertanyaan ini sebelumnya), dan jika jawabannya tidak ada dalam cache, ia akan meminta forwarder-nya (server DNS ISP Anda) untuk jawabannya, yang akan merespon dengan respon yang di-cache, atau akan melakukan rekursi sampai menemukan jawabannya.

Rekursi: server DNS yang menerima kueri mengambil sendiri untuk mencari tahu jawaban untuk kueri itu dengan secara rekursif menanyakan server DNS otoritatif untuk domain itu. Misalnya, untuk foo.example.com, sebuah kursor pertama-tama akan menanyakan server root untuk server DNS apa yang bertanggung jawab atas TLD .com, kemudian meminta server-server tersebut untuk example.com, kemudian akan meminta server misalnya. com untuk foo.example.com, akhirnya mendapatkan jawaban untuk kueri asli.

Dalam hal keamanan, Anda harus memisahkan recursors / forwarder (biasanya server DNS yang digunakan untuk melayani banyak klien) dan server DNS otoritatif (biasanya ini bertanggung jawab HANYA untuk menjawab pertanyaan re: domain yang mereka otorisasi - server ini TIDAK akan melakukan permintaan rekursif untuk siapa pun).

Saya harap ini membersihkan sedikit ...

Rouben
sumber
Ya, terima kasih banyak untuk penjelasan terperinci ini. Apakah permintaan rekursif juga menyelesaikan CNAME?
Raphael Schweikert
Ya, segala jenis catatan DNS.
Rouben