У меня есть следующие вопросы

• Что такое авторитетный сервер имен?
• Что такое рекурсивный преобразователь?

Обратите внимание, что «преобразователь» и «сервер имен» не совсем синонимы , и что вы спрашиваете о сервере имен в первом случае и о преобразователе во втором.

Полномочный сервер имен - это сервер, который удовлетворяет запросы на основе собственных данных без необходимости ссылаться на другой источник. Если это не также рекурсивный сервер имен (практика, которая обычно не рекомендуется), он будет отвечать только авторитетными данными из своего собственного хранилища (которые могут поступать из главного файла зоны, из копии этих данных, переданных из мастер-сервер, из базы данных, из динамического DNS, встроенный и т. д.) или со ссылкой (например, «Я не знаю этого ответа, но вы можете поговорить с таким-то сервером, который отвечает на вопросы об этом поддомене ..), или с NXDOMAIN или подобной ошибкой.

Рекурсивный сервер имен - это сервер, который удовлетворяет запросы, задавая другим серверы имен для ответа, при необходимости просматривая дерево от корневого уровня дерева DNS. Если он не знает ответа, он попытается найти его для запрашивающего клиента.

Резолвер - это (в совокупности) набор функций, которые система с поддержкой DNS использует для запроса DNS.

• ] Большинство клиентских систем имеют преобразователь заглушек , который знает лишь в очень простой форме, как запрашивать DNS-сервер и как получить ответ, но который не содержит логики для отслеживания цепочки делегирования от корня. .
• Рекурсивный преобразователь - это преобразователь с полным набором услуг, который может перемещаться по дереву в поисках ответа на запрос.
• Рекурсивные серверы имен должны содержать функции рекурсивного преобразователя для работы, но другие программы могут содержать рекурсивных преобразователей без выполнения функций сервера имен. Отличным примером является служебная программа / программа устранения неполадок DNS "dig" (распространяемая ISC как часть BIND), которая содержит полный рекурсивный преобразователь .

концепции DNS, которые иногда путают с различием между авторитетный и рекурсивный:

Есть несколько концепций DNS, которые люди иногда путают с разделением между авторитетными и рекурсивными данными.

Делегирование

Это сбивает с толку довольно много людей, особенно потому, что имя типа записи ресурса SOA (начало полномочий) содержит слово «авторитетный», которое звучит так, как будто оно должно быть связано с «авторитетным». Однако вы можете предоставлять достоверные данные для зоны, которая вам не делегирована, и многие люди это делают. Примеры включают блокировку контента на основе DNS и серверы, которые предоставляют авторитетные ответы для зон RFC 1918 [т.е. никто не делегировал вам полномочия отвечать на запросы PTR-записей для 168.192.in-addr.arpa (192.168.0.0/16) и подобных зон, но это не так. плохая идея, чтобы ваш сервер отвечал на такие запросы авторитетно, а не передавал запросы для этих зон в Интернет, где никто не уполномочен отвечать на них. ISC BIND и другие серверы имен предоставляют данные встроенных зон для этих зон частного адресного пространства, чтобы предотвратить in-addr.

Предупреждение:Впереди максимальное упрощение:

Авторитарный сервер

Авторитарный сервер — это сервер, который отвечает только на вопросы DNS о зонах(s), которые контролируются или принадлежат только им:. эгоистичный близорукий сервер, но очень эффективный.

В этом оскорбительном смысле авторитетный сервер не дает достойных и осмысленных ответов на любые общие запросы (вопросы)о других зонах, которые они не контролируют и не владеют.

В совокупности только полномочные серверы имеют ответы DNS на свои собственные зоны и авторитетную позицию. И это правильно, ведь именно они владеют своими зонами.

Это все, что они знают и делают. Просто нужно пойти и найти эти авторитетные серверы… как-нибудь.

Рекурсивный сервер

Рекурсивный сервер — это сервер, который собирает все необходимые ответы на любые вопросы,-связанные с DNS, как правило, от кого угодно или чего угодно.

Некоторые рекурсивные серверы будут коварными-например, и будут отвечать каким-то выборочным образом, основанным на географическом положении, конфиденциальности или тропе-например, интернет-провайдер, желающий поймать все ваши плохо названные доменные запросы с красивой «рекламной подачей».

Для каждой части доменного имени, (не имеющей символа точки), рекурсивный сервер будет очень усердно искать правильный авторитетный сервер имен, связанный с этой частью доменного имени. Что каждая часть доменного имени также называется зоной.

Рекурсивный сервер — это сервер, который также выполняет дополнительные поиски по отношению к другим авторитетным серверам, чтобы попытаться получить ответ на вопрос об имени хоста, доменном имени или любых других типах записей DNS, которые могут быть запрошены. Чаще всего этот ответ звучит так: «Обратитесь к следующему авторитетному серверу за более конкретным ответом.

Рекурсивный сервер выполняет поиск следующим образом::

• запрашивает у корневого сервера полномочный сервер в доменной части верхнего-уровня (TLD),
• получает IP-адрес уполномоченного сервера для зоны ДВУ от корневого сервера
• запрашивает у уполномоченного сервера ДВУ часть имени домена 2-го-уровня
• получает IP-адрес уполномоченного сервера для зоны второго-уровня от сервер TLD
• запрашивает полномочный сервер 2-го-уровня о части доменного имени 3-го-уровня
• получает IP-адрес полномочного сервера для 3-й зоны от авторитетного сервера 2-го-уровня
• запрашивает 3-й Авторитетный сервер -уровня примерно 4-го-уровня части доменного имени
• на этот раз получает не сервер имен, а запись DNS (обычно 'A')с ответом, содержащим IP-адрес.

Они будут очень усердно работать, чтобы предоставить вам полный и краткий ответ, или бросят попытки.

Если у рекурсивного сервера есть зоны, которыми они владеют или контролируют, они ответят и этим (и быстрее всего); они хорошие парни, но сильно оскорблены.

Они являются излюбленной мишенью для DDoS-атак-во всем мире. Держите свои рекурсивные серверы в своей надежной, но защищенной брандмауэром сети.

Рекурсивный Что?

Преобразователь — это расплывчатый термин. Большинство пользователей UNIX связали бы резолвер с поиском mini-DNS-, встроенным в каждую сетевую операционную систему (, такую ​​как libnss.so и/etc/resolve.conf).

Резолвер выполняет работу по ретрансляции каждого запроса, связанного с DNS-, от приложения (или конечного-пользователя)на рекурсивный сервер и ожидает получения его окончательного полного ответа, прежде чем ретранслировать его обратно своему приложению..

И при каждом запросе, который получил резолвер, он начинает с ретрансляции запросов первому рабочему nameserver, указанному в файле /etc/resolv.conf. Это ваш самый незаменимый компонент взаимодействия с Интернетом в целом.

Рекурсивный распознавательзвучит так, как будто он полностью находится на одном хосте,что выполняется двояко: запускается рекурсивный DNS-сервер (, такой как dnsmasqили named, настроенный как рекурсивный-только)и когда преобразователь ОС указывает на него localhost:53.

Сетевые инженеры, пытающиеся направить весь свой корпоративный DNS-трафик на защищенный брандмауэром сервер имен-бастионов, будут неодобрительно относиться к этим рекурсивным преобразователям, если только они не настроены должным образом для пересылки-только на их защищенный рекурсивный сервер имен(s). ].

В этих корпоративных сетях ПК с рекурсивными преобразователями (, которые запускаются на корневом сервере)или с пересылкой-только на не-рекурсивный сервер имен, просто без необходимости распространяют неприятный пакетный шум в своей корпоративной сети и может привести к срабатыванию систем обнаружения вторжений.