Я пытаюсь понять, как работает привязка, но не смог найти точную информацию о разнице между рекурсивными запросами и «пересылкой».
Я читал, что глобальное разрешение рекурсивных запросов - это плохо, потому что оно допускает атаки ddos. Но разве не то же самое и с пересылкой? Или пересылка является обязательным условием для рекурсивных запросов?
В двух словах:
Пересылка: просто передает DNS-запрос другому DNS-серверу (например, вашему интернет-провайдеру). Домашние маршрутизаторы используют пересылку для передачи DNS-запросов от клиентов вашей домашней сети на DNS-серверы вашего интернет-провайдера. Например, для foo.example.com перенаправляющий DNS-сервер сначала проверит свой кеш (задавал ли он этот вопрос раньше), и, если ответа нет в его кеше, он спросит своего перенаправителя (DNS-сервер вашего интернет-провайдера) для ответа, который будет отвечать либо кешированным ответом, либо будет выполнять рекурсию, пока не выяснит ответ.
Рекурсия: DNS-сервер, получающий запрос, берет на себя задачу выяснить ответ на этот запрос, рекурсивно запрашивая авторитетные DNS-серверы для этого домена. Например, для foo.example.com рекурсор сначала запросит у корневых серверов, какие DNS-серверы отвечают за домен .com, затем запросит у этих серверов example.com, а затем, например, запросит серверы. com для foo.example.com, наконец получив ответ на исходный запрос.
С точки зрения безопасности, вы должны разделить рекурсоры / пересылки (обычно DNS-серверы, используемые для обслуживания группы клиентов) и авторитетные DNS-серверы (обычно они отвечают ТОЛЬКО за ответы на запросы в отношении доменов, для которых они являются полномочными - эти серверы НЕ будут выполнять рекурсивные запросы для всех).
Надеюсь, это немного проясняет ситуацию ...