Qual è la differenza tra ricorsione e inoltro in associazione

Sto cercando di capire come funziona il bind ma non sono stato in grado di trovare informazioni precise sulla differenza tra query ricorsive e "inoltro".

Ho letto che consentire le query ricorsive a livello globale è negativo perché consente attacchi ddos. Ma non è lo stesso per l'inoltro? O l'inoltro è un prerequisito per le query ricorsive?

In breve:

Inoltro: passa la query DNS a un altro server DNS (ad es. Il tuo ISP). I router domestici utilizzano l'inoltro per passare le query DNS dai client della rete domestica ai server DNS dell'ISP. Ad esempio, per foo.example.com, un server DNS di inoltro verificherebbe prima la sua cache (ha già fatto questa domanda prima) e se la risposta non è nella sua cache, chiederebbe al suo server di inoltro (il server DNS del tuo ISP) per la risposta, che risponderebbe con una risposta memorizzata nella cache o eseguirà la ricorsione fino a quando non abbia capito la risposta.

Ricorsione: il server DNS che riceve la query si impegna a capire la risposta a quella query eseguendo una query ricorsiva su server DNS autorevoli per quel dominio. Ad esempio, per foo.example.com, un ricursore dovrebbe prima richiedere ai server root quali server DNS sono responsabili per il TLD .com, quindi chiederebbe quei server per esempio.com, quindi interrogherà i server per esempio. com for foo.example.com, ottenendo finalmente la risposta alla query originale.

In termini di sicurezza, è necessario separare recursori / server di inoltro (in genere server DNS utilizzati per servire un gruppo di client) e server DNS autorevoli (in genere questi sono responsabili SOLO per rispondere alle domande relative a domini per i quali sono autorevoli: questi server NON eseguiranno query ricorsive per chiunque).

Spero che questo chiarisca un po 'le cose ...