DNS(一)之禁用权威域名服务器递归解析

DNS

dns是互联网中最核心的带层级的分布式系统，负责把域名解析成ip，把IP解析出域名，以及宣告邮件路由信息等等，使得使用域名访问网站，收发邮件成了可能。

bind(berkeley Internet Name Domain) 是流行与linux上的域名解析服务。

禁用权威域名服务器递归解析

首先解析下什么是递归解析和迭代解析，本人也经常搞混，但是还得记下来，在了解递归和迭代之前，先聊下下DNS的组成部分。

1 DNS的组成
共两部分

域名服务器：提供域名解析的软件，默认监听udp,tcp 53端口。

解析器（resolver） 访问域名服务器的客户端，它负责获取域名服务器的响应后解析出结果，或者说显示结果，把这个结果返回给调用它 的调用者。

2 域名服务器的分类：
根据类别不同，分成如下几类:

2.1. 权威域名解析器（Autoritatvie Name Server )

负责授权域下的域名解析服务，由上级权威域名服务器使用NS记录进行授权。

有以下3级权威域名服务器

根域名服务器（Root Name Server）

的权威域名服务器，负责对.com,.cn,.org等顶级域名向下授权，共13组根域服务器，这里简单罗列几个:

主机名	ip	管理方
a.root-servres.net	198.41.0.4	VeriSign.Inc
b.root-servers.net	192.228.79	California(ISI)｜
c.boot-servers.net	192.33.4.12	Cogent Communications

注意

这里是13组根域服务器，不是13台。其中大多数采用了anycast技术，因为分布到不同的地区。

顶级域名服务器（top level name server）

顶级域名服务器分为两类：

通用顶级域名服务器(Generic Top Level Domains,GTLD) 服务器，服务于.org,.com,.info等授权的域名服务器

国家代码服务器(Country code top level Domains,CCTLD),服务于UK,CN.Us等授权的域名 服务器

二级域名服务器( second Level Name Server)

这类域名服务器服务于具体的域名，如解baidu.com等。

以上三类权威域名解析器的授权结构图如下所示



2.2. 缓存域名服务器（caching Name Server）

这类的域名服务器负责接受解析器发过来的DNS请求，通过依次查询根域名服务器->顶级域名服务器-> 二级域名服务器来获取DNS解析结果，然后把结果发送给解析器，同时根据DNS条目的TTL（time to live）值进行缓存，它有两个作用：

企业内部局域网

用于运营商为其租户提供域名解析结果

用于开放的DNS解析服务，如8.8.8.8

2.3. 转发域名服务器

这类域名服务器负责把解析器发过来的DNS请求，转发给指定的上级域名服务器获得DNS解析的条目，然后把结果发给解析器。和缓存域名服务器不同的是，这类服务器不进行任何缓存，只是转发而已。

3 递归和迭代解析

递归就是客户端（解析器）发起一个DNS解析请求给本地域名服务器，直到本地域名服务器返回一个解析结果。客户端只关心解析结果。

迭代查询 就是客户端（解析器）发起一个DNS解析请求给本地域名服务器，本地服务器返回一个参考列表，这个参考列表给出了可以解析这个DNS请求的服务器，由客户端再去向这个列表里的DNS服务器进行DNS查询获取DNS解析结果。

禁用递归查询的原因与方法

通过递归查询和迭代查询的分析可以知道，对于权威域名服务器，打开了递归查询功能，相当于把它配置成了开放的DNS服务器，会造成大量数据流，影响正常的服务提供，因此，在权威服务器上，可以结合自己公司的情况来确定是否需要禁用递归查询。

通过yum安装的bind,配置文件在/etc/named.conf,配置禁用递归查询的参数默认在18行，如下：

[root@localhost ~]# vim /etc/named.conf
18         recursion yes;   # 第18行 ，把yes改为no就行了