Par défaut, un serveur BIND DNS se comporte comme un « résolveur » récursif. Pour connaître les principes de fonctionnement de DNS, voir l'article de Michael D. Reilly, Getting Started with NT », « Domain Name Resolution with DNS », juin 1999.) Cependant, cette possibilité peut soulever plusieurs problèmes. Quand
Restreindre ou empêcher la récursion

un client DNS ou un autre serveur DNS demande à un serveur BIND DNS une consultation de nom (par exemple, l’adresse IP de www.example.co.com) et que le serveur BIND DNS ne possède pas cette information dans sa cache locale, le serveur BIND DNS essaie d’obtenir l’information auprès d’autres serveurs DNS. Si le serveur BIND DNS reçoit une information fantaisiste ou corrompue, il la diffuse aussitôt sur le client ou le serveur demandeur. De même, quand votre serveur BIND DNS est votre serveur d’autorité de domaine Internet et qu’il fournit une information de domaine en réponse aux requêtes Internet externes, les utilisateurs Internet externes peuvent interroger d’autres domaines par l’intermédiaire de votre serveur BIND DNS.
Pour réduire ces problèmes, vous pouvez ajouter une instruction à la section options du fichier named.conf du serveur BIND DNS pour préciser quels clients peuvent demander une requête récursive. Vous pouvez, par exemple, utiliser l’instruction illustrée dans le listing 2 pour permettre aux hôtes intranet 192.168.10.0/24 et 192.168.11.0/24 de résoudre les noms Internet par le biais de votre serveur BIND NIS Internet.
Autre possibilité : désactiver les fonctions récursives de votre serveur BIND DNS. Pour cela, vous pouvez ajouter l’instruction illustrée dans le listing 3 à la section options du fichier named.conf du serveur BIND DNS. Le code en face du renvoi A dans le listing 3 empêche le serveur d’utiliser les autres serveurs DNS pour résoudre des noms. Le code du renvoi B dans le listing 3 empêche le serveur de résoudre les noms d’autres serveurs DNS dans les enregistrements NS (Name Server) qu’il relaie en réponse aux requêtes externes. Mais, si vous désactivez la fonctionnalité récursive du serveur BIND DNS Internet, les serveurs et utilisateurs DNS internes ne pourront plus résoudre les noms de domaines Internet par l’intermédiaire de ce serveur.
Téléchargez cette ressource

Rapport mondial 2025 sur la réponse à incident
Dans ce nouveau rapport, les experts de Palo Alto Networks, Unit 42 livrent la synthèse des attaques ayant le plus impacté l'activité des entreprises au niveau mondial. Quel est visage actuel de la réponse aux incidents ? Quelles sont les tendances majeures qui redessinent le champ des menaces ? Quels sont les défis auxquels doivent faire face les entreprises ? Découvrez les top priorités des équipes de sécurité en 2025.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Évolution du marché de la virtualisation : quelle voie choisir ?
- La performance de l’IA et l’analytique reposent sur des fondations de données solides
- AI Appreciation Day,16 juillet « cet email de 10 pages aurait pu se résumer en 3 points »
- L’informatique quantique perçue comme la menace de cybersécurité la plus critique
- Bâtir une entreprise AI-native : par où commencer
