強いBIND DNSサーバを構築する 第四回 マスターサーバのゾーン設定 | ユーロテック情報システム販売株式会社named.confファイルの設定 – recursionを禁止する 前回のキャッシュDNSサーバでは、不特定多数のドメインやIPアドレスの名前解決をすることが目的であるため、recursion(再帰的参照)が必須でした。一方、recursionは、ゾーン情報を不特定多数の外部DNSホストから受け取るため、なりすましによる「キャッシュポイズンニング」と呼ばれる攻撃の対象となりやすい機能です。DNS参照クエリーがUDPである点も、TCPサービスに比べパケットを捏造した攻撃の標的となりすい性格は否めません。 この危険を考慮すれば、自身が所有するゾーンの情報を不特定多数の第三者ホストに提供することが目的である、いわゆる「プライマリDNSサーバ」や「セカンダリDNSサーバ」については、キャッシュ専用サーバを別途たてるなどして、自身が所有するゾーン情報のみを処理させるために極力recursionを禁
