BIND循环调度dns:如何仅使用一个ip地址进行nslookup回复

Question

我使用绑定轮询，当我使用nslookup测试分辨率时，一个domain.But有多个A记录，它回复所有的ip。有没有办法只回复一个命中的ip？有什么想法吗？非常感谢。

Answer 1

正如Celada指出的那样，为了安全而这样做是愚蠢的，因为有些人可能会一直尝试，直到他们得到所有这些东西。

然而，仍然有一种方法可以做到这一点，人们可能有理由这样做，或者至少像我一样好奇它是如何做到的。

这是named.conf的order random_1选项

最可怕的警告：this option will break DNSSEC, is intentionally "almost completely undocumented" and is "generally the wrong answer"。

它看起来确实像是pretty completely undocumented，也许只是作为一个补丁出现在Debian/Ubuntu bind中，而不是上游。

Answer 2

Order random_1被添加到Debian bind9包中，专门用于解决公司网络外无用的RFC3484，它假设网络匹配的更多位意味着接近，即使只有2位与1位的共性。

对于这种情况，更好的解决方案是任播或一些其他选择，这将使windows无法使用该RFC。另请参阅http://support.microsoft.com/kb/968920