Was ist eine "rekursive DNS-Abfrage"? [geschlossen]

15

Kann jemand kurz erklären, was "rekursive DNS-Abfrage" bedeutet und wie sie als schlecht angesehen werden kann ?

dns 
LanceBaynes
quelle
Ich wusste nur aus dem Titel, wer das geschrieben hat. Ich weiß nicht, warum Sie hier immer wieder DNS-Inhalte veröffentlichen, aber das ist überhaupt nicht Unix / Linux-spezifisch. Persönlich denke ich, dass es eine anständige Frage ist, aber sie ist hier nicht zum Thema und ich denke nicht, dass wir eine andere Site im Netzwerk haben, die es will
Michael Mrozek
Ist das hier wirklich offtopic? Wenn man bedenkt, dass wahrscheinlich 90% der DNS-Server der Welt unter Unix / Linux laufen? Vielleicht hätte die Frage umformuliert werden können: "Wie kann ich meinen DNS-Server so konfigurieren, dass er rekursive Anfragen beantwortet, und warum sollte ich das vermeiden?" aber ist das wirklich "offtopic"? Nur neugierig.
gabe.
Es könnte wohl als eine bessere Lösung für security.stackexchange.com angesehen werden, aber ich sehe keinen wirklichen Grund, es hier
sofort

Antworten:

25

TL; DR : Rekursive Abfragen sind Teil der Funktionsweise von Internet und DNS, aber nicht alle DNS-Server sollten rekursive Abfragen erhalten. Wenn diejenigen, die nicht antworten sollten, reagieren, kann dies zu Problemen führen.

Längere Version:

Rekursion, n: Siehe unter Rekursion.

Eine rekursive DNS-Abfrage wird durchgeführt, wenn der DNS-Server, den Sie nach der Adresse von z. B. unix.stackexchange.com gefragt haben, die Antwort selbst nicht kennt und dies bei einem anderen Server überprüfen muss.

Normalerweise funktioniert DNS so: Auf dem DNS-Server Ihres Internetdienstanbieters werden aus offensichtlichen Gründen nicht alle Internetdomänen dauerhaft gespeichert. Der folgende Austausch findet unter der Haube statt:

  1. Sie: Hey, Browser, zeigen Sie mir http://unix.stackexchange.com

  2. Browser: Sicher! ... Hm. Ich weiß eigentlich nicht, welche IP-Adresse das ist.

    Hey, OS, kannst du mir sagen, wo ich unix.stackexchange.com finde?

  3. OS: Sicher, was ...

    Hmm. Es ist nicht in meiner eigenen Hosts-Datei. Lass mich einfach meine Resolver Konfiguration überprüfen ...

    Hey, DNS-Server des ISP, können Sie mir sagen, wo ich unix.stackexchange.com finde?

  4. DNS-Server des ISP: Klar!

    ... Hmmm. Dieser ist nicht in meiner Liste der maßgeblichen Domänen enthalten, und diese Antwort ist derzeit nicht zwischengespeichert.

    Hey, Internet-Root-Server, können Sie mir sagen, wer für stackexchange.com maßgeblich ist?

  5. Internet Root Server: Sicher! Laut unseren Unterlagen möchten Sie ns1.serverfault.com, ns2.serverfault.com oder ns3.serverfault.com.

  6. DNS-Server des Internetdienstanbieters : Vielen Dank, Internet-Stammserver!

    Hallo, ns2.serverfault.com, kannst du mir sagen, wo ich unix.stackexchange.com finde?

  7. ns2.serverfault.com : Sicher! Das ist die Adresse 64.34.119.12

  8. DNS-Server des ISP : Großartig, danke!

    OS, die Nummer, die Sie suchen, ist 64.34.119.12.

  9. OS: Großartig, danke!

    Browser benötigen Sie die Adresse 64.34.119.12

  10. Browser: Großartig, danke!

    Okay, rufe jetzt die Seite auf.

  11. Sie: Ja, danke Browser!

Denken Sie jetzt daran, dass hier tatsächlich zwei Arten von Nameservern abgefragt werden - autorisierende DNS-Server (die sogenannten "Root" -Server, die dem DNS-Server Ihres ISP mitgeteilt haben, wo sich der DNS-Server von SE.com befindet, und der autorisierende DNS-Server von SE.com) ) und Rekursion oder Weiterleitung DNS - Servers (ISP DNS - Server).

Normalerweise sollte der erstere Typ nicht auf rekursive Anfragen reagieren, insbesondere nicht von außerhalb der eigenen Domäne. Kleinere ISPs sparen manchmal Kosten, da ihr primärer autorisierender Nameserver der gleiche Server wie ihr primärer weiterleitender Nameserver ist. Dies ist jedoch eine etwas unsichere Richtlinie, insbesondere wenn Sie Ihren Server nicht so konfigurieren, dass rekursive Abfragen von außerhalb Ihres eigenen IP-Bereichs abgelehnt werden.

Lesen Sie hier weiter auf Wikipedia .

Shadur
quelle
Soweit ich weiß, sollten die Root-Server Sie zu den .comServern leiten , und von dort würde der rekursive Server des ISP auf den Server von SE.com verweisen.
Hanan N.
Ja, aber ich dachte, ich würde es wenigstens / etwas / vereinfacht und doch verständlich halten.
Shadur
Ich glaube, Sie haben Schritt 12 vergessen .: Michael Mrozek: "Hey, LanceBaynes, ich wusste, wer das gerade aus dem Titel geschrieben hat ..."
Alois Mahdal
Hervorragend! Die Antwort wurde upwoted1
Valentin Bajrami
5

Wenn zwei DNS-Server vorhanden sind, ist DNS-A die Autorität für Domäne-A und DNS-B die Autorität für Domäne-B, und jemand sendet eine DNS-Abfrage an DNS-A, um nach Domäne-B zu suchen. DNS-A würde dann rekursiv sein, indem eine Anfrage an DNS-B gesendet wird, um Domain-B nachzuschlagen. Im Wesentlichen handelt es sich um eine rekursive Abfrage, wenn ein DNS-Server im Namen des Clients, der die Abfrage gesendet hat, die DNS-Spur verfolgt, um die Anforderung zu erfüllen.

Dies ist in Ordnung, wenn Sie einen DNS-Server für ein Netzwerk wie ein Büro hosten und alle Computer in diesem Büro den DNS-Server für alle Suchvorgänge verwenden. Dies ist schlecht, wenn Sie zulassen, dass rekursive DNS-Abfragen durchgeführt werden. Dies ist auch dann schlecht, wenn Sie einen DNS-Server hosten, der nur Anforderungen für eine bestimmte Domain erfüllen soll. Wenn jemand eine Suche nach einer anderen Domäne anfordert, sollte der DNS-Server einen Fehler zurückgeben, anstatt eine Rekursion durchzuführen.

Jon Lin
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.