Vous devriez lire le manuel de référence de l'administrateur pour BIND 9.9 .
Fondamentalement, responses-per-second
c'est le nombre de réponses identiques qui peuvent être envoyées à une seule destination, par seconde. Les définitions sont délicates.
Une seule destination est un bloc d'adresses réseau, de la taille configurée dans ipv4-prefix-length
ou ipv6-prefix-length
selon le cas. Donc, si l' ipv4-prefix-length
est 24, et les deux 192.0.2.1
et 192.0.2.2
interrogez le serveur DNS, ils partagent ce quota et ne peuvent envoyer autant de requêtes entre les deux d'entre eux.
Les réponses identiques sont des réponses aux requêtes pour un type RR particulier pour un nom existant particulier ou pour un nom inexistant. Les requêtes suivantes sont toutes distinctes:
IN A example.net.
IN A www.example.net.
IN AAAA example.net.
IN A nonexistent.domain.example.net.
Cependant, toutes les requêtes suivantes sont identiques (en supposant que nonexistent.domain.example.net.
etc. soient à la hauteur de leurs noms):
IN A nonexistent.domain.example.net.
IN A nonexistent.domain2.example.net.
IN SOA other.nonexistent.domain.example.net.
window
complique encore un peu les choses. Il s'agit du nombre de secondes pendant lesquelles le quota peut être mis en banque. Multipliant window
et responses-per-second
donne le maximum par lequel tout quota peut être positif, ou en termes plus basiques, la capacité de rafale.
Pour donner un exemple fourre-tout:
Vous êtes le serveur de noms non récurrent et faisant autorité pour example.net.
. Imaginez qu'aucun trafic DNS n'ait été vu du tout au cours des 10 dernières secondes, et la configuration dans la question s'applique à l'échelle mondiale. Les événements suivants se produisent séquentiellement:
- L'hôte 198.51.100.1 envoie 100 requêtes pour
IN NS example.net.
. 25 seront autorisés et les 75 restants seront ignorés.
- L'hôte 198.51.100.1 envoie 100 requêtes pour
IN A nonexistent.example.net.
. 25 seront autorisés et les 75 restants seront ignorés.
- L'hôte 198.51.100.1 envoie 1 requête pour
IN MX nonexistent-domain.example.net.
Il sera ignoré car la limite pour les domaines inexistants a été atteinte.
- L'hôte 198.51.100.1 envoie 1 requête pour
IN A example.net.
. C'est permis.
- Les hôtes 192.0.2.1 à 192.0.2.50 envoient chacun une seule requête pour
IN NS example.net.
. 25 d'entre eux obtiennent des réponses et les 25 autres sont ignorés; le quota pour 198.51.100.0/24 ne s'applique pas à ces hôtes, mais ils partagent le quota pour 192.0.2.0/24.
- Une seconde passe
- Les hôtes 192.0.2.26 à 192.0.2.50 répètent leur requête
IN NS example.net.
. 5 d'entre eux obtiennent des réponses et les 20 restants sont ignorés, car le quota n'est réapprovisionné que par 5 requêtes par seconde.