《DNS与BIND(第5版)》——10.11 回避伪装的名称服务器

10.11 回避伪装的名称服务器

作为名称服务器的管理员,可能会发现某些远程名称服务器用有害的信息作为应答,这些信息可能是过时的、不正确的、格式错误的,甚至是故意欺骗的。可以尝试通知对方的管理员来修复该问题。或者通过配置,让名称服务器不再查询该服务器,BIND 8和BIND 及其后续版本支持这个功能。下面是配置文件中的语句:

当然,需要填入正确的IP地址。

如果名称服务器停止查询的服务器,是一个区域唯一的服务器,那么不要指望能够查询到位于该区域的名称了。但愿,还存在其他服务器可以提供关于该区域的正确信息。

更有效的切断一个远程名称服务器的做法是,将其放在blackhole列表中。名称服务器不会查询位于该列表中的名称服务器,而且也不会响应列表中名称服务器的查询1。blackhole是options的子语句,并以地址匹配列表作为参数:

这避免了名称服务器试图响应任何来自RFC 1918指定的私有地址的查询。Internet上根本没有到达这些地址的路由,所以尝试回应它们只是在浪费CPU时间和网络带宽。

BIND 8从8.2版之后、BIND 9从版之后,开始支持blackhole子语句。

时间: 2024-10-26 23:41:14

《DNS与BIND(第5版)》——10.11 回避伪装的名称服务器的相关文章

最详细的制作正式版10.11 OS X El Capitan 安装U盘的方法

原帖地址:http://bbs.feng.com/read-htm-tid-10036487.html 一.准备工作: 1.准备一个 8GB 或以上容量的 U 盘,确保里面的数据已经妥善备份好(该过程会抹掉 U 盘全部数据) 2.在你的程序应用文件夹中有刚刚从官网下载下来的 "安装 OS X El Capitan" 我这里说的是正式版,不是测试版OS X EI Capitan ,这个正式版你打开App store 就可以下载 二.格式化优盘(3.0优盘亲测可用) 1.插入你的 U 盘,

《DNS与BIND(第5版)》——10.12 系统优化

10.12 系统优化 对于大多数名称服务器来说,在BIND的默认配置下就能工作得很好,然而可能其中某个还需要进一步调优.本节将讨论可以用来优化名称服务器的所有配置项. 10.12.1 区域传输区域传输会给名称服务器带来沉重的负担.所以BIND提供一些机制,可以限制slave名称服务器给master服务器带来的区域传输负载. 1.限制请求单个名称服务器传输的区域数量 在slave名称服务器上,可以限制其一次能够向单个master名称服务器请求传输的区域数量.这样master名称服务器的管理员应该会

《DNS与BIND(第5版)》——7.3 整理文件

7.3 整理文件 当首次设置区域时,整理文件很简单:将它们全部放到一个目录中即可.这些文件中包含了一个配置文件和数个区域数据文件.然而,随着时间的推移,任务会越来越艰巨.有更多的网络加入,相应地就有更多in-addr.arpa区域.或许已经授权了一些子域,也已经开始为其他站点备份区域.一段时间后,当使用ls查看名称服务器的目录时,会发现一屏都无法列出所有内容.是时候重新整理这些文件了.BIND提供了一些功能用来帮助进行文件的整理. BIND名称服务器支持一个叫做include的配置文件语句,它允

《DNS与BIND(第5版)》——1.2 Internet和internet的区别

1.2 Internet和internet的区别 大部分人认为,Internet与internet没什么区别.从书写上看,两者的区别很小:一个首字母大写,而另一个首字母小写.但是两者的含义却是迥然不同的.首字母大写的Internet,指的是基于ARPAnet建立起来并沿用至今的,成为所有直接或间接连接到美国商业主干网的,使用TCP/IP协议的网络.更深入来看,Internet实际上是由许多不同的网络,如商业的TCP/IP主干.企业网络.美国政府网络以及其他国家的TCP/IP网络通过高速数字线路连

《DNS与BIND(第5版)》——10.5 转发机制

10.5 转发机制 某些网络连接不希望发送过多的流量到外界去,可能是因为对外的连接速率低.延迟高:例如,远程办公室通过卫星连接到公司的网络.在这些情况下,可能需要将对外的DNS流量限制到最低.BIND提供了一种解决此问题的机制:转发器(forwarder). 如果需要将名称解析分流至特定的名称服务器,那么转发器也是很有用的.例如,如果网络中只有一台主机连接到Internet,并且该主机是名称服务器,则可以将其配置为其他名称服务器的转发器,这样它们就可以查询Internet上的域名了.(本书第11

《DNS与BIND(第5版)》——10.2 DNS动态更新

10.2 DNS动态更新 Internet(即通常使用TCP/IP协议的网络)如今变得愈加动态化.许多大型企业使用DHCP动态分配IP地址.几乎所有的ISP都使用DHCP为其拨号及使用线缆调制解调器(cable modem)的用户分配IP地址.为适应这种变化,DNS需要提供动态增加和删除记录的功能.RFC 2136描述了这种机制,称为DNS动态更新. BIND 8和9支持RFC 2136提出的动态更新功能.此功能允许经过授权的更新者(updater),在区域中的权威名称服务器上增加和删除资源记录

《DNS与BIND(第5版)》——10.7 轮询调度(Round-Robin)负载分配

10.7 轮询调度(Round-Robin)负载分配 自BIND 4.9发布之后,名称服务器已经正式支持一些过去必须通过补丁才能实现的负载分配功能.Bryan Beecher曾给BIND 写过一个补丁,以实现他所谓的"轮转地址记录(shuffle address records)".这是一组特殊类型的地址记录,名称服务器会在响应查询时轮转其中的地址.例如,域名foo.bar.baz有3个"可轮转"IP地址:192.168.1.1,192.168.1.2和192.16

《DNS与BIND(第5版)》——10.3 DNS NOTIFY(区域变更通知)

10.3 DNS NOTIFY(区域变更通知) 习惯上,BIND中的slave通过轮询(polling)机制来决定何时需要进行区域传输.轮询间隔时间又被称为更新间隔时间(refresh interval).而区域SOA记录中的其他参数,则可以用来配置轮询机制的其他参数. 但是使用这种轮询机制,在slave检测到并且从其master名称服务器传回新的区域数据,需要等待一段更新间隔时间.对使用动态更新的环境而言,这种延迟所带来的后果是灾难性的.当区域信息变更时,如果primary名称服务器能够主动通

《DNS与BIND(第5版)》——10.9 优先选择特定网络上的名称服务器

10.9 优先选择特定网络上的名称服务器 BIND 8的拓扑(topology)功能与sortlist有些相似,不过它仅用于选择名称服务器.(BIND 9直到版仍不支持拓扑功能.)本章前面曾介绍过,BIND会从同一区域的各权威名称服务器中,选择出往返时间(round-trip time,简称RTT)最短的名称服务器.事实上并非如此.BIND 8在比较RTT时,实际上会把远程名称服务器分配到以64毫秒为单位划分的多个时段中.第一时段其实只有32毫秒宽,从0到32毫秒.下一时段从33到96毫秒,依次