DNS解析流程分爲遞歸查詢和迭代查詢,遞歸查詢是以本地名稱服務器爲中心查詢, 遞歸查詢是默認方式,迭代查詢是以DNS客戶端,也就是客戶機器爲中心查詢。其實DNS客戶端和本地名稱服務器是遞歸,而本地名稱服務器和其他名稱服務器之間是迭代。
在遞歸查找中,DNS服務器執行遞歸併繼續查詢其他DNS服務器,直到它具有返回給客戶端的IP地址爲止(通常是用戶的操作系統)。在迭代DNS查詢中,每個DNS查詢都使用一個地址直接響應客戶端,以供另一個DNS服務器詢問,並且客戶端繼續查詢DNS服務器,直到其中一個使用給定域的正確IP地址進行響應爲止。
(簡單來說遞歸實際上就是DNS服務器迭代)。
遞歸DNS優點
由於緩存遞歸DNS查詢通常比迭代查詢的解析速度更快。遞歸DNS服務器將對執行的每個查詢的最終答案進行緩存,並將該最終答案保存一定的時間(稱爲生存時間)。
當遞歸解析器收到對其緩存中已經具有的IP地址的查詢時,它可以快速將緩存的答案提供給客戶端,而無需與任何其他DNS服務器進行通信。如果aDNS服務器爲許多客戶端提供服務和/或b請求的網站非常受歡迎,則很有可能從緩存中快速提供響應。
遞歸DNS缺點
開放的DNS服務器上允許遞歸DNS查詢會造成安全漏洞,因爲此配置可使攻擊者執行DNS放大攻擊和DNS緩存中毒
DNS放大攻擊
由於每個機器都要求使用欺騙性IP地址打開DNS解析器,該IP地址已更改爲目標受害者的真實源IP地址,然後目標會從DNS解析器接收響應。爲了創建大量流量,攻擊者以儘可能從DNS解析器生成響應的方式構造請求。結果,目標接收到攻擊者初始流量的放大,並且他們的網絡被虛假流量阻塞,導致拒絕服務。
DNS緩存中毒
DNS緩存中毒也稱爲DNS欺騙,是一種攻擊,旨在查找並利用DNS或域名系統中存在的漏洞,以便將有機流量從合法服務器吸引到虛假服務器上。這種攻擊往往被歸類爲域欺騙攻擊(pharming attack),由此它會導致出現很多嚴重問題。首先,用戶往往會以爲登陸的是自己熟悉的網站,而它們卻並不是。與釣魚攻擊採用非法URL不同的是,這種攻擊使用的是合法的URL地址。
具體細節: https://blog.csdn.net/weixin_43199326/article/details/88231721