В последнее время участились атаки на отказ (DDoS) посредством серверов DNS. По умолчанию установленный и запущенный на внешнем ip адресе Bind позволяет делать рекурсивные запросы.
Для запрета рекурсивных запросов надо внести в блок options следующие строки:
options {
allow-recursion {«none»;};
recursion no;
};
Вместо значения «none» Вы можете указать список IP-адресов или подсетей, которым разрешается данное действие.
Что такое рекурсивный запрос к DNS
Рекурсивный запрос – это запрос на выполнение полного преобразования имени FQDN в адрес IP. Если сервер DNS имеет информацию о записи, он ответит клиенту, завершив запрос ответом. Если сервер DNS не знает ответа, он может выполнить несколько итеративных запросов к корневым серверам системы DNS.
DNS-сервер может быть рекурсивным — умеющим выполнять полный поиск и нерекурсивным .
При ответе на нерекурсивный запрос, а также — при неумении или запрете выполнять рекурсивные запросы, — DNS-сервер либо возвращает данные о зоне, за которую он ответствен, либо возвращает адреса серверов, которые обладает большим объёмом информации о запрошенной зоне, чем отвечающий сервер, чаще всего — адреса корневых серверов.