Я установил BINDслужбу на своем сервере CentOS 8 с recursion yes;конфигурацией. Я заметил, что очень большой трафик (~ 8 ГБ) отправляется с моего сервера каждый час, и я не мог определить, что является источником этого трафика. Затем я изменил именованную конфигурацию и отключил рекурсию:recursion no;
После отключения рекурсии и измерения трафика я вижу, что объем отправляемого трафика резко упал до уровня ниже 200 МБ. Теперь у меня вопрос: как эта рекурсия может вызывать такой большой объем отправляемого трафика?!
решение1
рекурсия означает, что сервер имен отвечает на каждый запрос наилучшим образом, даже для зон, за которые он не отвечает.
Плохая идея — включать рекурсию и позволять ему отвечать на любые запросы каждого клиента без каких-либо ограничений, потому что найдется много идиотов, которые либо захотят использовать другие открытые серверы имен, либо даже попытаются завалить ответами третьих лиц.
рекурсия должна быть включена только для клиентов, которых этот сервер имен должен подтвердить как распознаватель. Так что, если у вас есть
recursion yes;
у вас также должно быть ограничение, например:
allow-recursion { 127.0.0.1; x.x.x.x; };
и перечислите все действительные клиентские IP-адреса.
Если этот сервер имен не является основным NS для доменных имен, вы также можете открыть его для ответа на запросы только разрешенных клиентов с помощью
allow-query { 127.0.0.1; x.x.x.x; };
allow-query-cache { 127.0.0.1; x.x.x.x };
Кроме того, если этот сервер имен отвечает только за несколько клиентов, вам следует рассмотреть возможность закрытия UDP 53 и TCP 53 для всех остальных IP-адресов с помощью брандмауэра.