1. 引言 (Introduction)
DNS recursive resolvers 必须为来自其 clients 的所有 queries 提供 answers, 即使这些 queries 针对的是不存在的 domain names. 对于位于 recursive resolver cache 中不存在的 top-level domain (TLD) 内的每个 queried name, resolver 必须向 root server 发送 query, 以获取该 TLD 的信息或查明该 TLD 不存在. 研究表明, 发往 root 的绝大多数 queries 都是针对 root zone 中不存在的 names.
recursive resolvers 发往 root servers 的许多 queries 会得到指向其他 servers 的 referrals 作为 answers. malicious third parties 可能能够观察 recursive resolver 与 root servers 之间网络上的这种 traffic.
该设计的主要目标是在影响 root servers 的 network attacks 期间, 为发往 root zone 的 queries 提供更可靠的 answers, 并防止 queries 和 responses 在网络上可见. 该设计对于让 stub resolver 更快获得关于 TLDs 的正常 queries 的 responses 可能影响很小, 因为大多数 TLDs 的 TTL 通常较长 (约一两天), 因而通常已经位于 recursive resolver 的 cache 中; root NS records 也是如此.
所描述的方法是在与 recursive resolver 相同的 server 上运行 root server, 使用 loopback address, 或使用 "views" 或 "logical systems" 等机制来分离 recursive resolver 和 root server 的功能.
1.1. 相对于 RFC 7706 的变化 (Changes from RFC 7706)
RFC 7706 明确要求 root server instance 运行在承载 validating resolver 的 host 的 loopback interface 上. 但是, RFC 7706 也包含如何设置不使用 loopback interface 的常见 software 的示例.
本文档更新要求, 允许 root server instance 运行在 loopback interface 上, 或作为 resolver software 的 integrated part.
1.2. 要求记号 (Requirements Notation)
本文档中的关键词 "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY" 和 "OPTIONAL", 当且仅当它们以此处所示的全大写形式出现时, 应按 BCP 14 [RFC2119] [RFC8174] 中的描述解释.