Cada vez que visita una página web en Internet, está utilizando DNS para obtener su dirección. La mayoría de ustedes puede saber qué es DNS y cómo funciona, y para otros hay un tutorial simple explicado por Techglimpse. En caso de que esté planeando configurar un servidor DNS, consulte la configuración de BIND aquí. Uno de nuestros lectores habituales, el Sr. Shyam, nos envió una consulta:¿Qué es el DNS recursivo? y debo habilitarlo?
¡De acuerdo! Déjame darte mi opinión sobre el DNS recursivo y por qué no deberías habilitarlo.
Antes de eso, debemos saber qué son las solicitudes recursivas y las solicitudes iterativas. Solicitudes recursivas :siempre que consulte un dominio, el servidor DNS intentará encontrar la dirección del dominio en su caché local. Si no puede encontrar, la consulta se envía a otros servidores DNS de forma recursiva hasta que se encuentra la dirección. Una vez que encuentre la dirección, responderá con los resultados de la consulta de cada servidor. Esta consulta recursiva se denomina solicitudes recursivas.
Solicitudes iterativas: El servidor DNS intentará encontrar el dominio en su caché local y, si no puede encontrar la dirección, se detendrá en ese punto y regresará a los solicitantes como "No pude encontrar el servidor".
¿Por qué no debe habilitar el DNS recursivo?
Esto es lo que dice fasthosts sobre el DNS recursivo:
Servers that support this type of request are vulnerable to fake requests from a spoofed IP address (the victim of the attack), the spoofed IP address can get overwhelmed by the number of DNS results it receives and be unable to serve regular internet traffic. This is called an Amplifier attack because this method takes advantage of DNS servers to reflect the attack onto a target while also amplifying the volume of packets sent to the victim. A consequence of this activity is that third party Network administrators who detect these requests may block your IP addresses. Your server could even be placed upon DNS blacklists.
¿Debería desactivar recursivo en mi servidor DNS?
Si desactiva la búsqueda recursiva en su servidor DNS, cualquier solicitud falsa de este tipo se tratará como una consulta DNS iterativa. Seguirá siendo un servidor DNS, pero no ayudará a los ataques amplificados contra una víctima.
¿Cómo desactivar la recursividad en Bind?
$vi /etc/named.conf
En la directiva de opciones, establezca el número de recursividad;
options {
.......
recursion no;
........
} Reinicie el servicio nombrado
$/etc/init.d/named restart
o
rndc reload
En Windows Server 2012, ejecute el siguiente comando en Powershell,
Set-DnsServerRecursion -Enable 0
En Windows Server 2003 y 2008, inicie la línea de comando y ejecute el siguiente comando,
dnscmd <Server name> /Config /NoRecursion 1
También puede leer: ¿Cómo habilitar el registro del servidor DNS de BIND para monitorear consultas y solucionar problemas?