在我们的本地小型企业networking中,我们需要仅为本地Intranet地址运行仅限Intranet的BIND(已命名)DNS服务器。 例如,我们在networking上进行了很多networking开发,所以有一个DNS服务器来pipe理本地地址(例如:testsite3.local)是有益的。
我们不确定的一个方面是,目前所有的商用台式机的DNS服务器都设置为75.75.75.75和75.75.76.76 ,这是Comcast互联网DNS服务器(Comcast是我们的业务ISP)。 因此,如果我们将计算机的DNS更改为指向本地DNS服务器,那么您如何设置绑定以将所有失败的请求转发到Comcast DNS服务器?
例如,如果networking上的某个用户访问www.google.com ,他们的电脑将首先与我们的本地DNS服务器进行核对,这显然没有像google.com那样的互联网DNSlogging。 那么,无论是计算机需要知道检查二级或三级DNS服务器或本地DNS服务器可以以某种方式请求从75.75.75.75或75.75.76.76 ? 这是所谓的区域转移?
我知道,在每台计算机(本例中为OSX)上,我可以手动将主DNS设置为本地服务器,然后将辅助服务器和三级服务器设置为Comcast DNS服务器。 但我想看看在服务器端是否有更好,更易于pipe理的方式来做到这一点。
DNS客户端不能这样工作,他们不会“倒退”到其他logging。 正常运行的DNS客户端应该从其configuration的列表中随机select一台服务器,以平均分散查询负载,并且备用服务器以防万一应该离线。
如果您需要同时提供内部和外部DNSlogging,则应将客户机configuration为仅使用内部 DNS服务器,并configuration内部服务器以尝试parsing来自外部服务器的任何非本地定义的DNSlogging。
这个的开始将是BIND中的allow-recursion指令。 只要确保不允许来自不在networking上的计算机的recursion查找,那么DNS放大攻击就是如此。