DNS 轉發或根提示

DNS 轉發最佳實踐的作者

$$ petri.com $$建議使用 ISP 的 DNS 伺服器作為轉發器，而不是自己進行遞歸查找，主要原因是性能。這是有道理的，因為您只進行一次查詢，可能會立即獲得響應，因為 ISP 有足夠大的記憶體和足夠受歡迎的網站。 使用 ISP 的 DNS 伺服器的一個缺點可能是它們的穩定性。過去，ISP 的 DNS 伺服器通常不是很穩定。但是，這可以通過簡單地轉發到名稱伺服器（例如 1.1.1.1、8.8.8.8 或 9.9.9.9）來解決。

自己進行查找有什麼好處？

編輯：使用像 Quad9 這樣的公共域名伺服器也會增加安全性，因為它會過濾掉已知的惡意域。

要回答我自己的問題…

John 的說法是正確的，“如果 DNS 服務滿足您的需求，肯定會轉發它。” 它可能無法滿足您的需求的幾個原因：

• DNS 提供商可能會通過返回他們（或政府）擁有的 IP 地址來阻止某些網站（例如種子網站），託管一個聲明該網站因非法活動而被禁止的網站。
• DNS 提供商可能會出於廣告目的返回不存在的域名的 A 記錄（來自 Torin Carey 的評論）。

執行自己的解析器的原因：

• 如果您的公司雙宿主到兩個不同的 ISP，則當流量通過 ISP2 離開您的網路時，可能無法使用 ISP1 的 DNS 伺服器。在這種情況下，您應該使用公共 DNS 伺服器（例如 8.8.8.8）或執行您自己的解析器。
• 如果來自 ISP 或公共 DNS 伺服器的延遲太高，您應該執行自己的解析器。

如果這兩個選項（自己的解析器或公共解析器）都是您公司的有效選項，您可以根據個人或架構偏好選擇想要的選項。當然，執行您自己的解析器意味著要管理更多系統，您的團隊中需要有具有 DNS 知識的系統管理員，等等。

解決自己的好處包括不依賴或信任第三方這樣做。這包括可能發生變化的 ISP，以及收集您的數據或強加其過濾理念的公共 DNS。

如果 DNS 服務滿足您的需求，請務必轉發。

引用自：https://serverfault.com/questions/926991