バインドのしくみを理解しようとしていますが、再帰クエリと「転送」の違いに関する明確な情報を見つけることができませんでした。
グローバルに再帰クエリを許可することは、ddos攻撃を許可するため悪いことだと私は読んだ。しかし、転送についても同じではありませんか?または、再帰的クエリの前提条件を転送していますか?
回答:
手短に:
転送: DNSクエリを別のDNSサーバー(ISPなど)に渡すだけです。ホームルーターは転送を使用して、DNSクエリをホームネットワークのクライアントからISPのDNSサーバーに渡します。たとえば、foo.example.comの場合、転送DNSサーバーはまずキャッシュを確認し(以前にこの質問を既に行っていた場合)、その回答がキャッシュにない場合はフォワーダー(ISPのDNSサーバー)に質問しますこれは、キャッシュされた応答で応答するか、応答が見つかるまで再帰を実行します。
再帰:クエリを受信したDNSサーバーは、そのドメインの権限のあるDNSサーバーに再帰的にクエリを実行することにより、そのクエリへの回答を把握します。たとえば、foo.example.comの場合、リカーサーは最初にルートサーバーに.com TLDを担当するDNSサーバーを照会し、次にそれらのサーバーにexample.comを要求してから、たとえばサーバーに照会します。 foo.example.comのcom、最後に元のクエリに対する答えを取得します。
セキュリティの観点から、リカーサー/フォワーダー(通常、多数のクライアントにサービスを提供するために使用されるDNSサーバー)と権限のあるDNSサーバー(通常、これらは権限のあるドメインのクエリへの応答のみに責任があります-これらのサーバーは実行しません)誰のための再帰クエリ)。
これで問題が少し解消されるといいのですが...
CNAMEsを解決しますか?