Chaque fois que vous visitez une page Web sur Internet, vous utilisez DNS pour obtenir son adresse. La plupart d'entre vous savent peut-être ce qu'est le DNS et son fonctionnement. Pour les autres, il existe un didacticiel simple expliqué par Techglimpse. Au cas où, si vous envisagez de configurer un serveur DNS, consultez la configuration de BIND ici. Un de nos lecteurs réguliers, M. Shyam, nous a envoyé une question :qu'est-ce que le DNS récursif ? et dois-je l'activer ?
D'accord! Permettez-moi de donner mon avis sur le DNS récursif et pourquoi vous ne devriez pas l'activer ?
Avant cela, nous devons savoir ce que sont les requêtes récursives et les requêtes itératives. Requêtes récursives :Chaque fois que vous interrogez un domaine, le serveur DNS essaie de trouver l'adresse du domaine dans son cache local. S'il ne peut pas trouver, la requête est envoyée aux autres serveurs DNS de manière récursive jusqu'à ce que l'adresse soit trouvée. Une fois qu'il trouve l'adresse, il répondra avec les résultats de la requête de chaque serveur. Cette requête récursive est appelée requêtes récursives.
Requêtes itératives : Le serveur DNS essaiera de trouver le domaine dans son cache local et s'il ne trouve pas l'adresse, il s'arrêtera à ce stade et retournera aux demandeurs comme "Je n'ai pas trouvé le serveur".
Pourquoi ne pas activer le DNS récursif ?
Voici ce que dit fasthosts à propos du DNS récursif :
Servers that support this type of request are vulnerable to fake requests from a spoofed IP address (the victim of the attack), the spoofed IP address can get overwhelmed by the number of DNS results it receives and be unable to serve regular internet traffic. This is called an Amplifier attack because this method takes advantage of DNS servers to reflect the attack onto a target while also amplifying the volume of packets sent to the victim. A consequence of this activity is that third party Network administrators who detect these requests may block your IP addresses. Your server could even be placed upon DNS blacklists.
Dois-je désactiver la récursivité sur mon serveur DNS ?
Si vous désactivez la recherche récursive sur votre serveur DNS, ces fausses requêtes sont traitées comme des requêtes DNS itératives. Il s'agira toujours d'un serveur DNS, mais il n'aidera pas les attaques amplifiées contre une victime.
Comment désactiver la récursivité dans Bind ?
$vi /etc/named.conf
Sous la directive options, définissez le numéro de récursivité ;
options {
.......
recursion no;
........
} Redémarrez le service nommé
$/etc/init.d/named restart
ou
rndc reload
Sur Windows Server 2012, exécutez la commande ci-dessous dans Powershell,
Set-DnsServerRecursion -Enable 0
Sur Windows Server 2003 et 2008, lancez la ligne de commande et exécutez la commande ci-dessous,
dnscmd <Server name> /Config /NoRecursion 1
Vous pouvez également lire : Comment activer la journalisation du serveur DNS BIND pour surveiller les requêtes et pour le dépannage ?