Domain-Name-System

阻止 BIND 中的任何查詢

  • November 28, 2018

我一直試圖阻止我的 BIND 伺服器中的任何查詢,但沒有成功。我關注了這篇文章Block ANY request in Bind,它說我可以使用最小響應,但它不起作用。

沒有一個答案適合我目前的配置。

view world {
   match-clients   { world-clients; };
   allow-recursion { none; };
   recursion       no;
   allow-transfer  { key XXXXXX; };

   minimal-responses yes;

   forwarders      { };

   include         "/etc/bind/world.conf";
};

您可以將 iptables 與類型記錄--hex-string選項一起使用。any

這是根據抗辯理由放棄“任何”請求

-A  INPUT -p udp -m udp --dport 53 -m string --hex-string "|0000ff0001|"  --algo bm --from 48 --to 65535  -m recent --set --name dnsanyquery  --rsource
-A INPUT -p udp -m udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm --from 48 --to 65535 -m recent --rcheck --seconds 60 --hitcount 4 --name dnsanyquery --rsource -j DROP

您讀過Andrew B. 的回答嗎?他說“沒有用於刪除所有類型查詢的配置選項ANY。” 該選項minimal-responses有助於限制攻擊,但您應該從響應率限制開始,正如 hspaans 在他的回答中提到的那樣。

該選項minimal-responses不會阻止類型ANY的查詢,但會限制響應,以降低它們在放大攻擊中的好處。

引用自:https://serverfault.com/questions/940029