前言
读者对象
如何阅读本书
勘误和支持
致谢
第 1 篇高性能网站构建
第 1 章深入理解 DNS 原理与部署 BIND
- 最佳实践 1：禁用权威域名服务器递归查询
- 最佳实践 2：构建域名解析缓存
- 最佳实践 3：配置 chroot 加固 BIND
- 最佳实践 4：利用 BIND 实现简单负载均衡
- 最佳实践 5：详解 BIND 视图技术及优化
- 最佳实践 6：关注 BIND 的漏洞信息
- 最佳实践 7：掌握 BIND 监控技巧
- 本章小结
第 2 章全面解析 CDN 技术与实战
- 最佳实践 8：架构典型 CDN 系统
- 最佳实践 9：理解 HTTP 协议中的缓存控制：服务器端缓存控制头部信息
- 最佳实践 10：配置和优化 Squid
- 最佳实践 11：优化缓存防盗链
- 最佳实践 12：实践视频点播 CDN
- 最佳实践 13：设计大规模下载调度系统
- 本章小结
第 3 章负载均衡和高可用技术
- 最佳实践 14：数据链路层负载均衡
- 最佳实践 15：4 层负载均衡
- 最佳实践 16：7 层负载均衡
- 最佳实践 17：基于 DNS 的负载均衡
- 最佳实践 18：基于重定向的负载均衡
- 最佳实践 19：基于客户端的负载均衡
- 最佳实践 20：高可用技术推荐
- 本章小结
第 4 章配置及调优 LVS
- 最佳实践 21：模式选择
- 最佳实践 22：LVS+Keepalived 实战精讲
- 最佳实践 23：多组 LVS 设定注意事项
- 最佳实践 24：注意网卡参数与 MTU 问题
- 最佳实践 25：LVS 监控要点
- 最佳实践 26：LVS 排错步骤推荐
- 本章小结
第 5 章使用 HAProxy 实现 4 层和 7 层代理
- 最佳实践 27：安装与优化
- 最佳实践 28：HAProxy+Keepalived 实战
- 最佳实践 29：HAProxy 监控
- 最佳实践 30：HAProxy 排错步骤推荐
- 本章小结
第 6 章实践 Nginx 的反向代理和负载均衡
- 最佳实践 31：安装与优化
- 最佳实践 32：Nginx 监控
- 最佳实践 33：Nginx 排错步骤推荐
- 最佳实践 34：Nginx 常见问题的处理方法
- 本章小结
第 7 章部署商业负载均衡设备 NetScaler
- 最佳实践 35：NetScaler 的初始化设置
- 最佳实践 36：NetScaler 基本负载均衡核心参数配置
- 最佳实践 37：NetScaler 内容交换核心参数配置
- 最佳实践 38：NetScaler 的 Weblog 配置与解析
- 最佳实践 39：NetScaler 高级运维指南
- 最佳实践 40：NetScaler 监控
- 最佳实践 41：NetScaler 排错步骤推荐
- 最佳实践 42：NetScaler Surge Protection 引起的问题案例
- 最佳实践 43：LVS、HAProxy、Nginx、NetScaler 的大对比
- 最佳实践 44：中小型网站负载均衡方案推荐
- 本章小结
第 8 章配置高性能网站
- 最佳实践 45：深入理解 HTTP 协议
- 最佳实践 46：配置高性能静态网站
- 最佳实践 47：配置高性能动态网站
- 最佳实践 48：配置多维度网站监控
- 本章小结
第 9 章优化 MySQL 数据库
- 最佳实践 49：MySQL 配置项优化
- 最佳实践 50：使用主从复制扩展读写能力
- 最佳实践 51：使用 MHA 构建高可用 MySQL
- 本章小结
第 2 篇服务器安全和监控
第 10 章构建企业级虚拟专用网络
- 最佳实践 52：常见的 VPN 构建技术
- 最佳实践 53：深入理解 OpenVPN 的特性
- 最佳实践 54：使用 OpenVPN 创建 Peer-to-Peer 的 VPN
- 最佳实践 55：使用 OpenVPN 创建 Remote Access 的 VPN
- 最佳实践 56：使用 OpenVPN 创建 Site-to-Site 的 VPN
- 最佳实践 57：回收客户端的证书
- 最佳实践 58：使用 OpenVPN 提供的各种 script 功能
- 最佳实践 59：OpenVPN 的排错步骤
- 本章小结
第 11 章实施 Linux 系统安全策略与入侵检测
- 最佳实践 60：物理层安全措施
- 最佳实践 61：网络层安全措施
- 最佳实践 62：应用层安全措施
- 最佳实践 63：入侵检测系统配置
- 最佳实践 64：Linux 备份与安全
- 本章小结
第 12 章实践 Zabbix 自定义模板技术
- 最佳实践 65：4 步完成 Zabbix Server 搭建
- 最佳实践 66：Zabbix 利器 Zatree
- 最佳实践 67：Zabbix Agent 自动注册
- 最佳实践 68：基于自动发现的 KVM 虚拟机性能监控
- 本章小结
第 13 章服务器硬件监控
- 最佳实践 69：服务器硬盘监控
- 最佳实践 70：SSD 定制监控
- 最佳实践 71：服务器带外监控：带外邮件警告
- 本章小结
第 3 篇网络分析技术
第 14 章使用 tcpdump 与 Wireshark 解决疑难问题
- 最佳实践 72：理解 tcpdump 的工作原理
- 最佳实践 73：学习 tcpdump 的 5 个参数和过滤器
- 最佳实践 74：在 Android 系统上抓包的最佳方法
- 最佳实践 75：使用 RawCap 抓取回环端口的数据
- 最佳实践 76：熟悉 Wireshark 的最佳配置项
- 最佳实践 77：使用 Wireshark 分析问题的案例
- 最佳实践 78：使用 libpcap 进行自动化分析
- 本章小结
第 15 章分析与解决运营商劫持问题
- 最佳实践 79：深度分析运营商劫持的技术手段
- 最佳实践 80：在关键文件系统部署 HTTPS 的实战
- 本章小结
第 16 章深度实践 iptables
- 最佳实践 81：禁用连接追踪
- 最佳实践 82：慎重禁用 ICMP 协议
- 最佳实践 83：网络地址转换在实践中的案例
- 最佳实践 84：深入理解 iptables 各种表和各种链
- 本章小结
第 4 篇运维自动化和游戏运维
第 17 章使用 Kickstart 完成批量系统安装
- 最佳实践 85：Kickstart 精要
- 最佳实践 86：系统配置参数优化
- 本章小结
第 18 章利用 Perl 编程实施高效运维
- 最佳实践 87：多进程编程技巧
- 最佳实践 88：调整 Socket 编程的超时时间
- 最佳实践 89：批量管理带外配置
- 最佳实践 90：推广邮件的推送优化
- 最佳实践 91：使用 PerlTidy 美化代码
- 本章小结
第 19 章精通 Ansible 实现运维自动化
- 最佳实践 92：理解 Ansible
- 最佳实践 93：学习 Ansible Playbook 使用要点
- 最佳实践 94：Ansible 模块介绍及开发
- 最佳实践 95：理解 Ansible 插件
- 最佳实践 96：Ansible 自动化运维实例：Ansible 自动安装配置 zabbix 客户端
- 本章小结
第 20 章掌握端游运维的技术要点
- 最佳实践 97：了解大型端游的技术架构
- 最佳实践 98：理解游戏运维体系发展历程
- 最佳实践 99：自动化管理技术
- 最佳实践 100：自动化监控技术
- 最佳实践 101：运维安全体系
- 最佳实践 102：运维服务管理体系
- 最佳实践 103：运维体系框架建设
- 本章小结
第 21 章精通手游运维的架构体系
- 最佳实践 104：推荐的手游架构
- 最佳实践 105：手游容量规划
- 本章小结

文江博客开发文档 Linux 运维最佳实践文章详情

文章来源于网络收集而来，版权归原创者所有，如有侵权请及时联系！

最佳实践 1：禁用权威域名服务器递归查询

发布于 2025-04-20 17:44:38 字数 3867 浏览 0 评论 0 收藏 0

我们经常听说 DNS 的“递归查询”和“迭代查询”，那么到底什么是“递归查询”，什么是“迭代查询”呢？

我们并不直接回答这个复杂的问题，而是先从 DNS 相关的重要概念开始学习。只有理解了这些概念，才能真正回答这个问题。

DNS 的组成部分

DNS 的组成概括来讲包括以下两个部分。

- 域名服务器（Name Server）。提供域名解析服务的软件，一般监听 UDP、TCP 的 53 端口。例如 Linux 系统中常见的 BIND、Windows Server 中集成的 DNS 服务器组件等。

- 解析器（Resolver）。访问域名服务器的客户端，它负责解析从域名服务器获取的响应，向调用它的应用返回 IP 地址或者别名等信息，例如 Linux 系统中的 gethostbyname（）函数、Windows 系统中的 nslookup 等。

域名服务器的分类

域名服务器根据用途不同，可以进行如下分类。

1.权威域名服务器（Authoritative Name Server）

负责授权域下的域名解析服务，由上级权威域名服务器使用 NS 记录进行授权。

有以下 3 级权威域名服务器。

（1）根域名服务器（Root Name Server）

最上层权威域名服务器，负责对.com、.cn、.org 等顶级域名的向下授权。目前有 13 组这样的服务器，详见表 1-1。

表 1-1　根域名服务器分布情况表

注意

对于表 1-1 中的服务器，这里指出是 13 组，而不是 13 台，是因为其中的大部分服务器采用了 anycast 技术，将其分布到不同地区，也就是说，虽然看起来只有 13 个 IP，但实际的服务器数量远远超过了 13 台。Anycast 是在大型 DNS 系统中广泛使用的多点部署、分布式方案，对于提高可用性、提高性能、抵抗 DDOS 有重要作用。有兴趣的读者可以参考 Wikipedia 上 anycast 技术的详细介绍： https://en.wikipedia.org/wiki/Anycast 。

（2）顶级域名服务器（Top Level Name Server）

顶级域名服务器有以下 2 类。

- 通用顶级域名（Generic Top Level Domains，GTLD）服务器。例如服务于.com、.org、.info 等授权的域名服务器。

- 国家代码顶级域名（Country Code Top Level Domains，CCTLD）服务器。例如服务于.uk、.cn、.jp 等授权的域名服务器。

完整的顶级域名服务器列表，可以从 http://www.iana.org/domains/root/db 这个链接获取。例如负责.cn 授权的国家代码顶级域名服务器，详见表 1-2。

表 1-2　负责解析.cn 的顶级域名服务器列表

（3）二级域名服务器（Second Level Name Server）

这类域名服务器，服务于具体域名解析，例如负责解析 sdo.com 域的域名服务器 ns.uugame.com 等。

以上 3 类权威域名服务器的授权结构可以参考图 1-1。

图 1-1　权威域名服务器的授权结构图

2.缓存域名服务器（Caching Name Server）

这类域名服务器，负责接收解析器发过来的 DNS 请求，通过依次查询根域名服务器→顶级域名服务器→二级域名服务器来获得 DNS 的解析条目，然后把响应结果发送给解析器。同时根据 DNS 条目的 TTL（Time To Live，存活时间）值进行缓存。

缓存域名服务器，有以下 2 个用途。

- 用在企业局域网内部，作为该局域网的 DNS 服务器。这样就可以避免内部用户的主机访问外部非授权的 DNS 服务器，避免 DNS 污染等问题。

- 用于电信等运营商为其租户提供域名解析服务。如上海电信的 202.96.209.5 和 202.96.209.133 都是此种类型的服务器。

- 用于开放 DNS 解析服务。如 Google 的 8.8.8.8、Norton 安全 DNS 199.85.126.30 及国内的 114.114.114.114 等都是此类。

3.转发域名服务器（Forwarding Name Server）

这类域名服务器，负责接收解析器发过来的 DNS 请求，转发给指定的上级域名服务器获得 DNS 的解析条目，然后把响应结果发送给解析器。和缓存域名服务器不同，这类域名服务器不进行任何的缓存，而仅仅是转发。

递归查询与迭代查询的区别

在了解了 DNS 的重要概念之后，现在来研究“递归查询”。

递归查询可以使用图 1-2 进行说明。

图 1-2　递归查询架构图

递归查询，是指在图 1-2 中角色为本地域名服务器上，它代替解析器，依次查询根域名服务器→顶级域名服务器→二级域名服务器来获得 DNS 的解析条目，然后把响应结果发送给解析器。

迭代查询，是指域名服务器并不直接代替解析器进行依次查询，而是给它返回一个参考列表，这个参考列表里面指出了可以解析这个 DNS 请求的服务器，由解析器再次对该列表中的服务器进行 DNS 查询以获取 DNS 解析结果。

禁用递归查询的原因与方法

通过对递归查询和迭代查询的分析可以知道，对于权威域名服务器，打开了递归查询功能，相当于把它配置成了开放的 DNS 服务器，会造成大量的数据流量，影响正常业务提供。因此，在权威域名服务器上，需要禁用递归查询。

在 BIND 里面配置禁用递归查询的指令如下：

recursion no;

收藏 0

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

列表为空，暂无数据

我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的隐私政策了解更多相关信息。单击 接受 或继续使用网站，即表示您同意使用 Cookies 和您的相关数据。