我已经BIND在我的 centOS 8 服务器上安装了recursion yes;配置服务。我注意到每小时从我的服务器发送非常大的流量(约 8 GB),我无法检测到此流量的来源。然后我更改了命名配置并禁用了递归:recursion no;
禁用递归并测量流量后,我可以看到发送流量已急剧下降到 200 MB 以下。现在我的问题是,这种递归如何导致如此大的发送流量?!
AskOverflow.Dev
递归意味着名称服务器正在尽最大努力回答每个查询,即使对于他不负责的区域也是如此。
启用递归并让他不受任何限制地回答每个客户端的任何查询是一个坏主意,因为那里会有很多白痴,他们要么喜欢使用其他开放的名称服务器,要么甚至试图用答案淹没第三方。
递归应该只为这个名称服务器必须确认为解析器的客户端启用。所以,如果你有
您还应该有一个限制,例如:
并列出所有有效的客户端 IP。
如果此名称服务器不是域名的主要 NS,您还可以打开它以回答仅允许的客户端的查询
此外,如果此名称服务器仅负责少数客户端,则应考虑使用防火墙为每个其他 IP 关闭 UDP 53 和 TCP 53。