我想知道在任何 DNS 服务器的实现(BIND/djbdns/anyother)中是否可以完全抑制 NXDOMAIN 响应?
要求如下:校园(例如大学)从 ISP 获取 Wimax 互联网服务。ISP 为他们提供托管在其终端的缓存 DNS。
现在,如果(由于某些奇怪的原因)校园 DNS 和 ISP DNS 之间的连接不存在且无法组织.....
基于上述前提..我们遇到了一个问题,假设 winxp 解析器通过 DHCP 分配 DNS,使得 ISP DNS 是主要的...然后,当它尝试解析其内部 A RR 时,它会从 ISP 缓存解析器获取 NXDOMAIN rcode,因为 A 记录不存在。
在这种情况下,如果我们默默地删除来自 ISP 解析器的 NXDOMAIN 响应,winxp 解析器将会超时,然后查询 INTRANET DNS 并得到有效响应。
那么可以使用任何(免费)DNS 软件来完成此操作吗?
答案1
你为什么想要这样的东西?为了减少 DNS 服务器上的流量负载?这样做完全不安全。直到超时,有人可能会干扰并说……“你好……我有你想要的内部 DNS……就是这个”……然后攻击者突然就得到了你的密码/任何东西。
无论如何,我不知道它是否存在,但也许你可以轻松地制作一个包装器。(使用 LDPRELOAD 创建自定义库)
答案2
我不得不同意先前的评论,即抑制这种情况是一个非常糟糕的主意...通过 DHCP 为您的系统提供信息来推送您的 DNS 设置不是更好吗,并且,如果有必要,配置您的内部网 DNS 服务器以使用 ISP 的 DNS 作为转发器。