Tôi đang chạy BIND để thử nghiệm và đây là một phần RPZ của tôi:
example.com TRONG CNAME . ; khối cục bộ chống lại example.com
*.example.com TRONG CNAME . ; khối cục bộ chống lại example.com
Khi tôi truy vấn ví dụ.com nó bị chặn thành công:
đào @127.0.0.1 example.com
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 28108
;; cờ: qr rd ra; CÂU HỎI: 1, TRẢ LỜI: 0, AUTHORITY: 0, BỔ SUNG: 2
;; LỰA CHỌN PSEULiều lượng:
; EDNS: phiên bản: 0, cờ:; udp: 1232
;; PHẦN CÂU HỎI:
;example.com. TRONG MỘT
;; PHẦN BỔ SUNG:
rpz.local. 1 TRONG SOA máy chủ cục bộ. cần.to.biết.chỉ. 201702121 60 60 432000 60
nhưng không có đệ quy, nó đi qua:
đào @127.0.0.1 example.com +norecurse
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 59121
;; cờ: qr ra quảng cáo; CÂU HỎI: 1, TRẢ LỜI: 1, AUTHORITY: 0, BỔ SUNG: 1
;; LỰA CHỌN PSEULiều lượng:
; EDNS: phiên bản: 0, cờ:; udp: 1232
;; PHẦN CÂU HỎI:
;example.com. TRONG MỘT
;; PHẦN TRẢ LỜI:
ví dụ.com. 17130 TRONG 93.184.216.34
Tôi hiểu rằng không có đệ quy nào phục vụ những gì có trong bộ đệm, nhưng tại sao nó không áp dụng RPZ để chặn miền?
Ngoài ra, tại sao yêu cầu thậm chí giải quyết? nó có nên chặn truy vấn DNS ngay từ đầu vì miền khớp với RPZ và trả về nhanh nhất có thể không?
tôi có thể thấy rằng PowerDNS đã tối ưu hóa mọi thứ để tránh giải quyết truy vấn nếu cần:
Làm như vậy sẽ yêu cầu trì hoãn việc đánh giá các chính sách RPZ cho đến khi toàn bộ quá trình giải quyết hoàn tất, điều đó có nghĩa là các truy vấn có thể đã được gửi đến một máy chủ định danh độc hại, bên cạnh các vấn đề về hiệu suất.
Tôi thực sự tò mò muốn biết lý do và liệu có cách nào để chặn truy vấn không trước độ phân giải.
