标签: dns-hosting

今天遇到了glibc的漏洞利用，其中涉及用于 DNS 解析的 getaddrinfo() 调用。我在两个面向互联网的 Bind9 机器上运行 Ubuntu 12.04。我不确定我是否完全理解这个漏洞，但它似乎是由来自恶意 DNS 服务器的大量回复引起的。缓解措施之一是“丢弃 UDP DNS 数据包 > 512 字节的防火墙”，因此我在 DNS 服务器上配置了 netfilter 以丢弃来自或前往端口 53 的任何 UDP > 512 字节： -A INPUT -i lo -j ACCEPT -A INPUT -p udp --sport 53 -m length --length 511:65535 -j DROP -A INPUT -p udp --dport 53 -m length --length 511:65535 -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

有没有更好的方法来使用绑定设置或任何东西来做到这一点？我已经用 scapy 测试了规则，它确实阻止了在端口 53 上抛出的 UDP 数据包 > 512。

根据回复更新： -A …

为什么有人要外包 DNS？我在 stackoverflow 播客中听说过这个，并且有点想知道为什么？

我目前正在开发一个任务关键型项目。实际域名注册为 1 和 1，我计划购买 DynDNS 自定义 DNS 服务（它有 5 个不同的 DNS 地理位置），然后再购买另一个辅助 DNS 服务，以确保我的 DNS 尽可能安全地进行故障转移。注册与 1 和 1 是否重要 - 它们是链中的薄弱环节吗？我真正使用它们的目的只是说 DynDNS 是我的主要 DNS 名称服务器，然后我的辅助 DNS 是我的其他名称服务器。

我可以将注册转移到 DynDNS - 我只是不确定它是否真的很重要。

谢谢

您可以拥有多个域名注册商吗？例如， register.com 和 dnsmadeeasy.com 同时托管您的 A 和 Cname 记录？

我有一个供应商，他应该在他们的 DNS 系统中设置一个域名。我可以使用什么来点击它并查看它响应 mydomain.example.com 的 IP 是什么？我基本上想确保他们正确配置了 A 记录。

Windows、Linux，任何工具/命令行都可以。谢谢！

我正在使用 DNS Made Easy 管理我的 dns。他们每月提供 1000 万次查询。

这是否意味着每次用户访问我的网站或发送电子邮件（使用通过 DNSME 配置的业务的 gmail）；它使用了 1 个查询？

我的网络上有一个 BIND 名称服务器，位于具有大量 RAM 的机器上。如何提高性能？有什么方法可以增加内存中存储的分辨率的TTL？有什么方法可以“预取”顶级域名？

我安装了 dnstop 来监视运行 bind9 的名称服务器，并惊讶地发现它正在查询我没有托管的其他域。我只是想知道这是否是正常行为，还是我配置不正确？编辑：我只是有一个想法..这是我的本地机器在查询自己吗？我也在这个盒子上运行一个网络服务器..

Queries: 1 new, 483 total                              Mon Jan 19 22:00:37 2015

Query Name                          Count      %   cum%
------------------------------- --------- ------ ------
omeee.ga                              218   45.1   45.1
canonical.com                          47    9.7   54.9
spamcop.net                            35    7.2   62.1
google.com                             16    3.3   65.4
phocks.org                             14    2.9   68.3
com.tr                                 13    2.7   71.0
spamhaus.org                           11    2.3   73.3
mediacenter.hu                          9    1.9   75.2
jazztel.es                              9    1.9   77.0
hol.gr                                  8    1.7   78.7
rr.com                                  6    1.2   79.9
com.ar                                  5    1.0   81.0
mollom.com                              5    1.0   82.0
amyhendicott.ga                         5    1.0   83.0 …

我运行了这个命令

# dig mysite.com @localhost

结果是下面的，我的区域文件在下面。为什么授权部分是 ns.mysite.com.mysite.com？而不是 ns.mysite.com？

另一件困扰我的事情是有人如何找到 mysite.com？看来我的注册商强迫我使用两个域名。我写在ns.mysite.com和ns2.mysite.com。如果域 (mysite.com) 是在我的服务器上定义的，那么怎么会有人找到我的服务器来查找mysite.com？

; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> mysite.com @localhost
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30664
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;mysite.com.                                IN      A

;; ANSWER SECTION:
mysite.com.                 259200  IN      A       1.2.3.4

;; AUTHORITY SECTION:
mysite.com.                 259200  IN      NS      ns.mysite.com.mysite.com.
mysite.com.                 259200  IN      NS …

我一直在研究如何管理 DNS 记录，但我有点不知所措。我正在寻找一种低成本（脑力、时间、金钱）解决方案，以减轻我的域注册商（也托管我的 DNS 记录）再次受到DDoS 攻击，从而使我的业务损失的风险。我读过的选项包括：

• 谷歌公共 DNS
• 亚马逊 53 号公路

在评估这些（和其他）选项时，我应该问什么问题？