配置僅短期快取的本機 DNS 解析器

Question 1

感謝大家的意見與建議。他們指導我採取以下解決方案：

安裝bind9。
進行編輯/etc/bind/named.conf.options以使轉發器為空（以便伺服器不使用另一個快取伺服器的快取記錄）。
將max-cache-ttl和max-ncache-ttl選項設定為 300 秒。（參考）
更改listen-on-v6 { any; };為listen-on-v6 { localhost; };使伺服器不被其他系統使用。（參考）
編輯系統/etc/resolv.conf以僅包含nameserver 127.0.0.1伺服器上的應用程式使用新的本機伺服器。

我重新啟動bind9並驗證它是否正常工作：

dev:~# dig serverfault.com

; <<>> DiG 9.5.1-P2 <<>> serverfault.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63591
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0

;; QUESTION SECTION:
;serverfault.com.               IN      A

;; ANSWER SECTION:
serverfault.com.        300     IN      A       69.59.196.212

;; AUTHORITY SECTION:
serverfault.com.        300     IN      NS      ns21.domaincontrol.com.
serverfault.com.        300     IN      NS      ns22.domaincontrol.com.

;; Query time: 190 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Jul 18 03:06:24 2009
;; MSG SIZE  rcvd: 101

儘管 serverfault.com 的記錄發布的 TTL 是 3600，但 TTL 顯示為 300。

Answer

感謝大家的意見與建議。他們指導我採取以下解決方案：

安裝bind9。
進行編輯/etc/bind/named.conf.options以使轉發器為空（以便伺服器不使用另一個快取伺服器的快取記錄）。
將max-cache-ttl和max-ncache-ttl選項設定為 300 秒。（參考）
更改listen-on-v6 { any; };為listen-on-v6 { localhost; };使伺服器不被其他系統使用。（參考）
編輯系統/etc/resolv.conf以僅包含nameserver 127.0.0.1伺服器上的應用程式使用新的本機伺服器。

我重新啟動bind9並驗證它是否正常工作：

dev:~# dig serverfault.com

; <<>> DiG 9.5.1-P2 <<>> serverfault.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63591
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 0

;; QUESTION SECTION:
;serverfault.com.               IN      A

;; ANSWER SECTION:
serverfault.com.        300     IN      A       69.59.196.212

;; AUTHORITY SECTION:
serverfault.com.        300     IN      NS      ns21.domaincontrol.com.
serverfault.com.        300     IN      NS      ns22.domaincontrol.com.

;; Query time: 190 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Jul 18 03:06:24 2009
;; MSG SIZE  rcvd: 101

儘管 serverfault.com 的記錄發布的 TTL 是 3600，但 TTL 顯示為 300。

Question 2

只需呼叫“dig”即可使用 +trace 大量...

Dig 的作用就像 DNS 伺服器一樣，可以完全遞歸，無需兌現，無需事先知道 NS 伺服器，如果有委派問題，您也會發現這一點。

如果它是 Windows 程序，您可以從此處下載 Bindhttps://www.isc.org/download/它包含一個 dig.exe，Linux 通常有一個 BIND 工具或可能包含 dig 的可用命名工具包。

安裝整個 DNS 伺服器只是為了進行查找......太瘋狂了！

$ dig www.google.com +trace +nodnssec -4

; <<>> DiG 9.11.9 <<>> www.google.com +trace +nodnssec -4
;; global options: +cmd
...

...

google.com.             172800  IN      NS      ns4.google.com.
;; Received 291 bytes from 192.48.79.30#53(j.gtld-servers.net) in 22 ms

www.google.com.         300     IN      A       172.217.10.228
;; Received 59 bytes from 216.239.32.10#53(ns1.google.com) in 30 ms

Answer

只需呼叫“dig”即可使用 +trace 大量...

Dig 的作用就像 DNS 伺服器一樣，可以完全遞歸，無需兌現，無需事先知道 NS 伺服器，如果有委派問題，您也會發現這一點。

如果它是 Windows 程序，您可以從此處下載 Bindhttps://www.isc.org/download/它包含一個 dig.exe，Linux 通常有一個 BIND 工具或可能包含 dig 的可用命名工具包。

安裝整個 DNS 伺服器只是為了進行查找......太瘋狂了！

$ dig www.google.com +trace +nodnssec -4

; <<>> DiG 9.11.9 <<>> www.google.com +trace +nodnssec -4
;; global options: +cmd
...

...

google.com.             172800  IN      NS      ns4.google.com.
;; Received 291 bytes from 192.48.79.30#53(j.gtld-servers.net) in 22 ms

www.google.com.         300     IN      A       172.217.10.228
;; Received 59 bytes from 216.239.32.10#53(ns1.google.com) in 30 ms

Question 3

為什麼不直接使用 dnscache（來自 djbdns 套件）並每 5 分鐘終止它一次？

對於那些沒有使用過 djbdns，特別是 dnscache 的人來說——它是一個遞歸解析器，根本不會在磁碟上保留任何內容。此外，djb 製作了一套自動監視程式的工具，如果程式死機，監視程式將自動（立即）重新啟動它。

每五分鐘殺掉一次，鮑伯就是你叔叔了…

Answer

為什麼不直接使用 dnscache（來自 djbdns 套件）並每 5 分鐘終止它一次？

對於那些沒有使用過 djbdns，特別是 dnscache 的人來說——它是一個遞歸解析器，根本不會在磁碟上保留任何內容。此外，djb 製作了一套自動監視程式的工具，如果程式死機，監視程式將自動（立即）重新啟動它。

每五分鐘殺掉一次，鮑伯就是你叔叔了…

Question 4

正如您所說，您可以在 BIND 選項子句中或僅適用於您的開發伺服器的視圖中使用max-cache-ttl和限制最長 TTL 。max-ncache-ttl

但是，這會影響所有尋找的 TTL，因此會增加生產伺服器上的網路/負載並降低 DNS 彈性。

對於 BIND 9.3 及以上版本，如果您只想清除一個網域的緩存，您可以這樣做

rndc flushname <domain>

這將刷新確切域的所有記錄，而不是子網域。查看的輸出rndc。

當然，如果你想加長出於任何原因的 TTL，即另一個問題。

Answer