DNS(一)之禁用权威域名服务器递归解析

DNS

dns是互联网中最核心的带层级的分布式系统，负责把域名解析成ip，把IP解析出域名，以及宣告邮件路由信息等等，使得使用域名访问网站，收发邮件成了可能。

bind(berkeley Internet Name Domain) 是流行与linux上的域名解析服务。

禁用权威域名服务器递归解析

首先解析下什么是递归解析和迭代解析，本人也经常搞混，但是还得记下来，在了解递归和迭代之前，先聊下下DNS的组成部分。

1 DNS的组成

共两部分

• 域名服务器：提供域名解析的软件，默认监听udp,tcp 53端口。
• 解析器（resolver） 访问域名服务器的客户端，它负责获取域名服务器的响应后解析出结果，或者说显示结果，把这个结果返回给调用它 的调用者。

2 域名服务器的分类：

根据类别不同，分成如下几类:

2.1. 权威域名解析器（Autoritatvie Name Server )

负责授权域下的域名解析服务，由上级权威域名服务器使用NS记录进行授权。

有以下3级权威域名服务器

• 根域名服务器（Root Name Server）
  
  的权威域名服务器，负责对.com,.cn,.org等顶级域名向下授权，共13组根域服务器，这里简单罗列几个:

主机名	ip	管理方
a.root-servres.net	198.41.0.4	VeriSign.Inc
b.root-servers.net	192.228.79	California(ISI)｜
c.boot-servers.net	192.33.4.12	Cogent Communications

---

注意

这里是13组根域服务器，不是13台。其中大多数采用了anycast技术，因为分布到不同的地区。

• 顶级域名服务器（top level name server）
  
  顶级域名服务器分为两类：
  1. 通用顶级域名服务器(Generic Top Level Domains,GTLD) 服务器，服务于.org,.com,.info等授权的域名服务器
  2. 国家代码服务器(Country code top level Domains,CCTLD),服务于UK,CN.Us等授权的域名 服务器
• 二级域名服务器( second Level Name Server)
  
  这类域名服务器服务于具体的域名，如解baidu.com等。

以上三类权威域名解析器的授权结构图如下所示

2.2. 缓存域名服务器（caching Name Server）

这类的域名服务器负责接受解析器发过来的DNS请求，通过依次查询根域名服务器->顶级域名服务器-> 二级域名服务器来获取DNS解析结果，然后把结果发送给解析器，同时根据DNS条目的TTL（time to live）值进行缓存，它有两个作用：

• 企业内部局域网
• 用于运营商为其租户提供域名解析结果
• 用于开放的DNS解析服务，如8.8.8.8

2.3. 转发域名服务器

这类域名服务器负责把解析器发过来的DNS请求，转发给指定的上级域名服务器获得DNS解析的条目，然后把结果发给解析器。和缓存域名服务器不同的是，这类服务器不进行任何缓存，只是转发而已。

3 递归和迭代解析

• 递归就是客户端（解析器）发起一个DNS解析请求给本地域名服务器，直到本地域名服务器返回一个解析结果。客户端只关心解析结果。
• 迭代查询 就是客户端（解析器）发起一个DNS解析请求给本地域名服务器，本地服务器返回一个参考列表，这个参考列表给出了可以解析这个DNS请求的服务器，由客户端再去向这个列表里的DNS服务器进行DNS查询获取DNS解析结果。

禁用递归查询的原因与方法

通过递归查询和迭代查询的分析可以知道，对于权威域名服务器，打开了递归查询功能，相当于把它配置成了开放的DNS服务器，会造成大量数据流，影响正常的服务提供，因此，在权威服务器上，可以结合自己公司的情况来确定是否需要禁用递归查询。

通过yum安装的bind,配置文件在/etc/named.conf,配置禁用递归查询的参数默认在18行，如下：

[root@localhost ~]# vim /etc/named.conf
 18         recursion yes;   # 第18行 ，把yes改为no就行了