Я только что успешно завершил настройку BIND для работы в качестве кэширующего сервера, и я извлекаю информацию непосредственно с 13 корневых серверов (в виде файла подсказки) вместо использования пересылки с чужих DNS-серверов.
Мой файл named.conf включает следующее:
options {
listen-on port 53 { 127.0.0.1; 10/8; };
allow-query { localhost; 127.0.0.1; 10/8; };
{snip}
}
zone "." IN {
type hint;
file "named.ca";
};
Еще не готовый к развертыванию для широкой публики, я запустил BIND, думая, что просто укажу сетевой адаптер своего компьютера, чтобы использовать его в качестве нового DNS-сервера. Я протестировал его, чтобы убедиться, что он работает, а затем дал IP-адрес нескольким технически подкованным коллегам, чтобы они тоже начали его использовать, чтобы я мог контролировать этот новый рабочий сервер в течение следующих дней или двух.
Но что меня действительно смущает, так это то, что я запускаю dnstop последние 10 минут и вижу, что у нас есть по крайней мере 18 устройств, разговаривающих с сервером, и более 2000 запросов уже было сделано несколькими устройствами, которые были не рассказали о новом DNS сервере.
Очевидно, я сказал ему слушать во всей нашей сети 10/8. Но я подумал, что нам нужно будет настроить наши маршрутизаторы (это сделает наш сетевой инженер, а не я), чтобы все разговаривали с этим новым DNS-сервером.
Есть ли что-то явное, что я неправильно понимаю, как работает DNS и как устройства делают запросы DNS? Мои наблюдения показывают мне, что этот новый сервер BIND "транслирует" себя, так что несколько - если не все - устройства в сети знают об этом.
Назначения DNS-сервера в DHCP выдаются DHCP-сервером, а не маршрутизаторами. Вообще говоря, вы правы, DNS-сервер, о котором никому не говорят, просто сидит там. Однако: многие компьютеры с вирусами могут отправлять множество DNS-запросов на множество разных IP-адресов, чтобы найти уязвимости и так далее. Есть ли способ узнать, что это за запросы устройства,? Это даст вам некоторое представление о том, что происходит.
Bind не сообщает о своем существовании. Возможно, что ваш IP-адрес был указан как сервер имен в некоторых конфигурациях.
Также возможно, что некоторые вредоносные программы ищут ваш DNS-сервер. Есть несколько способов узнать, что запрашивают.
tcpdump или другой анализатор пакетов для перехвата входящих запросов. Затем вам нужно будет определить, законные это запросы или нет. Если кажется, что у запросов есть исходный адрес, который не может напрямую связаться с вашим сервером, то это похоже на вредоносное ПО, которое отправляет запросы. Для запросов UDP нельзя обязательно доверять исходному адресу. Поддельные адреса источника использовались для запуска DOS-атак на серверы.