Domain-Name-System

DNS 轉發或根提示

  • September 11, 2018

DNS 轉發最佳實踐的作者

$$ petri.com $$建議使用 ISP 的 DNS 伺服器作為轉發器,而不是自己進行遞歸查找,主要原因是性能。這是有道理的,因為您只進行一次查詢,可能會立即獲得響應,因為 ISP 有足夠大的記憶體和足夠受歡迎的網站。 使用 ISP 的 DNS 伺服器的一個缺點可能是它們的穩定性。過去,ISP 的 DNS 伺服器通常不是很穩定。但是,這可以通過簡單地轉發到名稱伺服器(例如 1.1.1.1、8.8.8.8 或 9.9.9.9)來解決。

自己進行查找有什麼好處?

編輯:使用像 Quad9 這樣的公共域名伺服器也會增加安全性,因為它會過濾掉已知的惡意域。

要回答我自己的問題…

John 的說法是正確的,“如果 DNS 服務滿足您的需求,肯定會轉發它。” 它可能無法滿足您的需求的幾個原因:

  • DNS 提供商可能會通過返回他們(或政府)擁有的 IP 地址來阻止某些網站(例如種子網站),託管一個聲明該網站因非法活動而被禁止的網站。
  • DNS 提供商可能會出於廣告目的返回不存在的域名的 A 記錄(來自 Torin Carey 的評論)。

執行自己的解析器的原因:

  • 如果您的公司雙宿主到兩個不同的 ISP,則當流量通過 ISP2 離開您的網路時,可能無法使用 ISP1 的 DNS 伺服器。在這種情況下,您應該使用公共 DNS 伺服器(例如 8.8.8.8)或執行您自己的解析器。
  • 如果來自 ISP 或公共 DNS 伺服器的延遲太高,您應該執行自己的解析器。

如果這兩個選項(自己的解析器或公共解析器)都是您公司的有效選項,您可以根據個人或架構偏好選擇想要的選項。當然,執行您自己的解析器意味著要管理更多系統,您的團隊中需要有具有 DNS 知識的系統管理員,等等。

解決自己的好處包括不依賴或信任第三方這樣做。這包括可能發生變化的 ISP,以及收集您的數據或強加其過濾理念的公共 DNS。

如果 DNS 服務滿足您的需求,請務必轉發。

引用自:https://serverfault.com/questions/926991