如何阻止BIND9成为主机的权威DNS服务器？

Question

直到最近，我一直在我的现场服务器上使用BIND9 (Ubuntu16.04w/LAMP)。但后来我决定把我的一个网站转移到远程第三方托管。显然，我改变了DNS服务器在网站的注册员的网站和网站工作良好。问题是，在我的本地机器上( BIND9在这里)，它仍然指向我在本地安装那个主机。

Answer 1

不再是域

的权威

从BIND的配置中删除区域，即删除

zone "example.com" { type master; file "/etc/bind/db.example.com"; };

然后重新加载配置

$ sudo rndc reload

将您的权威和递归DNS基础结构

分开。

nameserver 127.0.0.1可能在您的/etc/resolv.conf中。您可以删除它并添加可以用作解析器的递归名称服务器。

虽然在同一台服务器上具有递归角色和权威角色在技术上是可能的，但不建议这样做。这种孤立有几个原因：

• 防止放大攻击(RFC 5358，4)。
• 防止DNS缓存中毒，虽然这主要是一个历史原因，最好解释在第三版的Nemeth，E，Snyder，G，Seebass，S，& Hein，T. (2000)。UNIX系统管理手册。皮尔逊教育。(第16章域名系统；绑定软件；权威的和仅缓存的服务器)：在BIND4和BIND 8中，使用单个名称服务器作为某些区域的权威服务器和其他区域的缓存服务器并不是一个好主意。每个命名的运行都带有一个内存中的数据库，如果内存紧张，缓存的数据与权威数据混合，则可能发生交叉污染。BIND 9已经消除了这个问题，所以混合起来。
• 为了稳定/负载平衡:授权名称服务器是Internet的关键部分，因为其他几乎所有东西都依赖DNS。因此，我们不应允许技术错误或高负载递归服务器影响该系统的性能。
• 防止出现这样的情况，即名称服务器不再对域具有权威性，但本地配置使其保持权威性，并最终使用过时的记录进行应答。