BIND的安全问题：很容易受DOS攻击

Question

我发现BIND有一个比较严重的问题，恐怕很多SA并不在意。
作为企业对外提供自己DNS解析的BIND服务器，千万别工作在recursive模式，否则
非常容易被DOS。

recursive是一个挺消耗资源和时间的过程，BIND对recursive CLIENT的数量有限制（bind-9.2.9缺省recursive-clients=1000），
如果我伪造DNS ENQUERY的话，假设一次recursive 请求时间=2秒，那么只要500/秒的伪造请求就可以造成拒绝服务攻击。换算下来
就不用256kbps的带宽。

recursive 请求时间是取绝于网络和目的DNS服务器响应速度的，如果网络和目的DNS服务器响应速度很慢的话，攻击包甚至可以更少。
我自己做了下测试，1000/S多一些的速度，很快就让我的BIND趴下了。当然，如果要让BIND完全停止服务（停止解释本地AUTHORITIVE ZONE）的话，那就需要更多的包攻击。我测试的结果是3000/S多的包攻击的时候，就完全停止服务。

所以一定不要把对外的BIND 设置成为recursive，否则极其容易受到攻击。

我感觉DNS协议太脆弱了，应该修改。如果是TCP模式还好一些。如果是UDP的话，应该弄成CHARLENGE-RESPONSE的方式，就不会
受伪造请求的影响了。