我想知道如何知道 DNS 服务器是否是开放解析器。
哪个 bash 命令可以让我验证这一点?
【问题讨论】:
我们在Zonemaster 项目中这样做的方式是向有问题的名称服务器发送一个SOA 查询,并为几乎肯定不存在的名称xx--domain-cannot-exist.xx--illegal-syntax-tld 设置RD 标志。如果响应为NXDOMAIN,则名称服务器已执行递归查询,因此是开放递归。如果响应是其他内容(REFUSED、SERVFAIL 或引用 root 很常见),那很好。
【讨论】:
host xx--domain-cannot-exist.xx--illegal-syntax-tld google.com 返回一个connection timeout,但37.235.1.174 是一个,因为它返回Host xx--domain-cannot-exist.xx--illegal-syntax-tld not found: 3(NXDOMAIN)? (这似乎是真的)。请您简单解释一下为什么错误响应 NXDOMAIN 意味着 DNS 执行了递归查询?
NXDOMAIN 是查询的正确答案,为了得到它,名称服务器必须尝试查找它,它只有在为其他人进行递归查找时才会这样做(即是,是一个开放的解析器)。 REFUSED、SERVFAIL 和 root-referral 是名称服务器表示“我无法回答该查询”的不同方式。