我刚刚成功完成configurationBIND以充当caching服务器,并且直接从13个根服务器(作为提示文件)提取信息,而不是使用其他DNS服务器的转发器。
我的named.conf文件包含以下内容:
options { listen-on port 53 { 127.0.0.1; 10/8; }; allow-query { localhost; 127.0.0.1; 10/8; }; {snip} } zone "." IN { type hint; file "named.ca"; }; 还没有准备好将它部署到公众,但我开始BIND思考我只是指出我自己的计算机的networking适配器使用这个作为新的DNS服务器。 我对它进行了testing,以确保它能够正常工作,然后将IP地址提供给一些技术熟练的同事开始使用,以便我可以在第二天或第二天监视这台新的工作服务器。
但是让我困惑的是这样的:在过去的10分钟里,我一直在运行dnstop,而且我发现至less有18台设备正在和服务器进行通话,而且有数千台设备已经有2000多个查询没有告诉新的DNS服务器。
很显然,我已经告诉过我们在整个10/8networking里听。 但我想我们需要configuration我们的路由器(由我们的networking工程师完成,而不是我)来让每个人都与这个新的DNS服务器交谈。
有什么我有误解DNS如何工作以及设备如何进行DNS查询的东西呢? 我的观察表明,这个新的BIND服务器本身就是“广播”的,因此整个networking上的几个设备(如果不是全部的话)都意识到了这一点。
DHCP服务器下的DNS服务器分配由DHCP服务器分配 – 不是路由器专门分配的。 一般来说,你是正确的,没有人被告知只是在那里的DNS服务器。 但是,很多装有病毒的计算机可能会向许多不同的IP发送许多DNS查询以查找漏洞等等。 查询过的设备是否有任何方法可以找出这些查询是什么? 这会给你一些有关发生的事情的见解。
绑定不会广播它的存在。 在某些configuration中,您的IP地址可能被列为域名服务器。
某些恶意软件也可能正在search您的DNS服务器。 有几种方法可以查看正在请求的内容。
tcpdump或其他数据包嗅探器来捕获传入的查询。 那么你将需要确定这些是否是合法的查询。 如果请求似乎有一个源地址不能直接到达您的服务器,那么它就像恶意软件发送查询。 对于UDP查询,您不一定信任源地址。 伪造的源地址已被用来在服务器上启动DOS攻击。