DNS 서버를 구성했으며 재귀를 활성화하면 핑을 실행하고 결과를 얻을 수 있습니다.
[root@seobd ec2-user]# nslookup google.com
Server: 52.10.197.195
Address: 52.10.197.195#53
Non-authoritative answer:
Name: google.com
Address: 216.58.193.78
그러나 재귀를 비활성화하면 결과를 핑할 수 없습니다. 구성:
options {
listen-on port 53 { 127.0.0.1; 52.10.197.195; 0.0.0.0/0;};
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { localhost; 0.0.0.0/0; };
notify yes;
recursion no;
dnssec-enable no;
dnssec-validation yes;
};
zone "iftibd.com" IN {
type master;
file "seobd.fz";
allow-update {none;};
};
zone "197.10.52.in-addr.arpa" IN {
type master;
file "seobd.rz";
allow-update {none;};
};
[root@seobd ec2-user]# ping google.com
ping: unknown host google.com
답변1
이는 예상되는 동작입니다. 재귀를 허용하지 않으면 BIND는 최종적으로 답변을 얻기 위해 가능성/서버를 반복하지 않으므로 답변할 수 없습니다.
중요한 부분은 ACL을 생성하여 재귀 요청을 수행할 수 있는 네트워크를 제한하고 원격으로 악용될 수 있는 개방형 DNS 서버를 방지하는 것입니다.
또한 옵션 섹션 상단에 다음을 추가하는 것이 좋습니다.
allow-recursion { 127.0.0.0/8; x.x.x.x/24; y.y.y.y/24; };
여기서 xxxx와 yyyy는 네트워크 블록입니다.
보안에 미치는 영향은 다음을 참조하세요. 파서 프로젝트 열기
개방형 확인자는 도메인 외부의 호스트에 대한 재귀 쿼리에 응답하여 글로벌 네트워크 인프라에 심각한 위협을 가합니다. 이는 DNS 증폭 공격에 사용되며 1990년대 후반에 흔히 발생했던 Smurf 공격과 유사한 위협을 가합니다.