У меня есть следующие вопросы

• Что такое авторитетный сервер имен?
• Что такое рекурсивный резолвер?

Обратите внимание, что "resolver" и "nameserver" не совсем синонимичны, и что вы спрашиваете о nameserver в первом случае и resolver во втором.

Авторитетным сервером имен является тот, который удовлетворяет запросам из своих собственных данных без необходимости ссылаться на другой источник. Если он не является также рекурсивным сервером имен (практика, которая обычно устарела), он будет отвечать только достоверными данными из своего собственного хранилища (которые могут поступать из главного файла зоны, из копии этих данных, переданных с главного сервера, с база данных, из динамического DNS, встроенная и т. д.) или с рефералом (например, "Я не знаю этого ответа, но вы можете так или иначе общаться с сервером, который отвечает на вопросы для этого субдомена...), или с NXDOMAIN или подобной ошибкой.

Рекурсивный сервер имен - это тот, который удовлетворяет запросы, запрашивая ответ у других серверов имен, при необходимости обходя дерево с корневого уровня дерева DNS. Если он не знает ответа, он попытается найти его для запрашивающего клиента.

Средство распознавания (в совокупности) представляет собой набор функций, которые система, использующая DNS, использует для запроса DNS.

• Большинство клиентских систем имеют решатель-заглушку, который знает только очень простой способ, как запросить DNS-сервер и как получить ответ, но который не содержит логики для следования цепочке делегирования из корня.
• Рекурсивный распознаватель - это распознаватель с полным набором услуг, который может пройти по дереву, чтобы найти ответ на запрос.
• Рекурсивные серверы имен должны содержать функциональность рекурсивного распознавателя, чтобы функционировать, но другие программы могут содержать рекурсивные распознаватели без выполнения функций сервера имен. Отличным примером является утилита / программа устранения неполадок DNS "dig" (распространяется ISC как часть BIND), которая содержит полный рекурсивный преобразователь.

Концепции DNS, которые иногда путают с различием между авторитетным и рекурсивным:

Существует несколько концепций DNS, которые люди иногда путают с разделением достоверных и рекурсивных данных.

Делегация

Это сбивает с толку многих людей, особенно потому, что имя типа записи ресурса SOA (начало полномочий) содержит слово "полномочия", которое звучит так, как будто оно должно быть связано с "авторитетным". Тем не менее, вы можете предоставить достоверные данные для зоны, которая не делегирована вам, как делают многие. Примеры включают в себя блокировку контента на основе DNS и серверы, которые предоставляют достоверные ответы для зон RFC 1918 [т.е. никто не делегировал вам полномочия отвечать на запросы записей PTR для 168.192.in-addr.arpa (192.168.0.0/16) и аналогичных зон, но это не так. плохая идея для вашего сервера - отвечать на такие запросы авторитетно, а не просачивать запросы для тех зон в Интернет, где никому не поручено отвечать на них. ISC BIND и другие серверы имен предоставляют данные встроенных зон для этих зон частного адресного пространства, чтобы предотвратить бомбардировку серверов in-addr.arpa запросами, на которые нельзя ссылаться.]

Не обязательно, чтобы вам были делегированы полномочия для зоны, чтобы ответы считались авторитетными.

Мастер и Раб

Ведомые серверы, даже несмотря на то, что они получают данные своей зоны из другого источника, по-прежнему являются авторитетными серверами, поскольку они удовлетворяют запросы данными из своего собственного хранилища (любого типа), а не удовлетворяют их, рекурсивно передавая запросы другим серверам имен.

Подчиненные серверы являются официальными серверами (для зон, которые они обслуживают.)

Предупреждение: впереди большое упрощение:

Авторитетный сервер

Авторитетный сервер — это сервер, который отвечает только на вопросы DNS о зонах, которые контролируют или владеют только они: это эгоистичный близорукий сервер, но при этом очень эффективный.

В этом оскорбительном смысле авторитетный сервер не предоставляет достойного и значимого ответа на любой общий запрос (вопросы) о других зонах, которые он не контролирует или не владеет.

В совокупности только авторитетные серверы имеют ответы DNS на свои собственные зоны и занимают авторитетную позицию. И это правильно, ведь именно они владеют своими зонами.

Это все, что они знают и делают. Просто надо пойти и найти эти авторитетные сервера… как-нибудь.

Рекурсивный сервер

Рекурсивный сервер — это сервер, который собирает все необходимые ответы на любые вопросы, связанные с DNS, как правило, от кого угодно и от чего угодно.

Некоторые рекурсивные серверы будут хитрыми и будут отвечать выборочно, в зависимости от географического положения, конфиденциальности или типа интернет-провайдера, желающего перехватить все ваши неправильно названные доменные запросы с помощью хорошей «коммерческой презентации».

Для каждой части доменного имени (без символа точки) рекурсивный сервер будет очень усердно работать, чтобы найти правильный авторитетный сервер имен, связанный с этой частью доменного имени. Каждая часть доменного имени также называется зоной.

Рекурсивный сервер — это сервер, который также выполняет дополнительный поиск на других авторитетных серверах, чтобы попытаться получить ответ на вопрос об имени хоста, имени домена или любых других типах записей DNS, которые их могли запросить. Чаще всего этот ответ звучит так: «Посмотрите на следующий авторитетный сервер, чтобы получить более конкретный ответ».

Рекурсивный сервер выполняет поиск следующим образом:

• запросить у корневого сервера авторитетный сервер для части домена верхнего уровня (TLD),
• получает IP-адрес авторитетного сервера зоны TLD от корневого сервера
• спросить авторитетный сервер TLD о части доменного имени 2-го уровня
• получает IP-адрес авторитетного сервера для зоны второго уровня от сервера TLD
• спросить авторитетный сервер 2-го уровня о части доменного имени 3-го уровня
• получает IP-адрес авторитарного сервера для 3-й зоны от авторитарного сервера 2-го уровня
• спросить авторитетный сервер 3-го уровня о части доменного имени 4-го уровня
• на этот раз получает не сервер имен, а DNS-запись (обычно «А») с ответом, содержащим IP-адрес.

Они будут очень усердно работать, чтобы дать вам полный и краткий ответ или отказаться от попыток.

Если у рекурсивного сервера есть зоны, которыми они владеют или которые контролируют, они тоже ответят (и быстрее всего); они хорошие парни, но их сильно издеваются.

Они являются излюбленной целью участников DDoS-атак по всему миру. Держите свои рекурсивные серверы в своей надежной, но защищенной брандмауэром сети.

Рекурсивный Что?

Резолвер – это расплывчатый термин. Большинство пользователей UNIX ассоциируют преобразователь как мини-DNS-поиск, встроенный в каждую сетевую операционную систему (например, libnss.so и/etc/resolve.conf).

Resolver выполняет работу по ретрансляции каждого запроса, связанного с DNS, от приложения (или конечного пользователя) на рекурсивный сервер и ждет получения окончательного полного ответа, прежде чем ретранслировать его обратно в свое приложение.

И при каждом запросе, который получил резолвер, он начинает с ретрансляции запросов первому работающемуnameserverперечислены в/etc/resolv.confфайл. Это ваш самый незаменимый компонент взаимодействия с Интернетом в целом.

Рекурсивный преобразователь звучит так, как будто он полностью находится на одном хосте, что осуществляется двойным запуском рекурсивного DNS-сервера (например,dnsmasqилиnamedнастроен только как рекурсивный) и на него указывает сопоставитель ОС.localhost:53.

Сетевые инженеры, которые пытаются направить весь свой корпоративный DNS-трафик на свой защищенный межсетевым экраном сервер имен-бастионов, будут неодобрительно относиться к этим рекурсивным преобразователям, если они не настроены должным образом на пересылку только на их защищенные рекурсивные серверы имен.

В этих корпоративных сетях компьютеры с рекурсивными преобразователями (которые начинаются с корневого сервера) или с переадресацией только на некорпоративный рекурсивный сервер имен просто без необходимости распыляют неприятный пакетный шум внутри своей корпоративной сети и могут вывести из строя системы обнаружения вторжений.