本节书摘来自异步社区《DNS与BIND(第5版)》一书中的第10章,第10.11节,作者: 【美】Joseph Davies 更多章节内容可以访问云栖社区“异步社区”公众号查看。
10.11 回避伪装的名称服务器
作为名称服务器的管理员,可能会发现某些远程名称服务器用有害的信息作为应答,这些信息可能是过时的、不正确的、格式错误的,甚至是故意欺骗的。可以尝试通知对方的管理员来修复该问题。或者通过配置,让名称服务器不再查询该服务器,BIND 8和BIND 及其后续版本支持这个功能。下面是配置文件中的语句:
当然,需要填入正确的IP地址。
如果名称服务器停止查询的服务器,是一个区域唯一的服务器,那么不要指望能够查询到位于该区域的名称了。但愿,还存在其他服务器可以提供关于该区域的正确信息。
更有效的切断一个远程名称服务器的做法是,将其放在blackhole列表中。名称服务器不会查询位于该列表中的名称服务器,而且也不会响应列表中名称服务器的查询1。blackhole是options的子语句,并以地址匹配列表作为参数:
这避免了名称服务器试图响应任何来自RFC 1918指定的私有地址的查询。Internet上根本没有到达这些地址的路由,所以尝试回应它们只是在浪费CPU时间和网络带宽。
BIND 8从8.2版之后、BIND 9从版之后,开始支持blackhole子语句。
扫一扫
118
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
