Domain-Name-System
阻止 BIND 中的任何查詢
我一直試圖阻止我的 BIND 伺服器中的任何查詢,但沒有成功。我關注了這篇文章Block ANY request in Bind,它說我可以使用最小響應,但它不起作用。
沒有一個答案適合我目前的配置。
view world { match-clients { world-clients; }; allow-recursion { none; }; recursion no; allow-transfer { key XXXXXX; }; minimal-responses yes; forwarders { }; include "/etc/bind/world.conf"; };
您可以將 iptables 與類型記錄
--hex-string
選項一起使用。any
這是根據抗辯理由放棄“任何”請求
-A INPUT -p udp -m udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm --from 48 --to 65535 -m recent --set --name dnsanyquery --rsource -A INPUT -p udp -m udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm --from 48 --to 65535 -m recent --rcheck --seconds 60 --hitcount 4 --name dnsanyquery --rsource -j DROP
您讀過Andrew B. 的回答嗎?他說“沒有用於刪除所有類型查詢的配置選項
ANY
。” 該選項minimal-responses
有助於限制攻擊,但您應該從響應率限制開始,正如 hspaans 在他的回答中提到的那樣。該選項
minimal-responses
不會阻止類型ANY
的查詢,但會限制響應,以降低它們在放大攻擊中的好處。