今天我收到了有关我的 DNS 服务器的滥用投诉。
翻译提供青蛙
你好,
CERT-FR 的一位合作伙伴告知,以下一个或多个域名服务器 (DNS) 未验证“区域 AXFR”传输协议的 IP 源
ID、域名、名称服务器、IP 地址、国家 329872、mydomain.com、ns1.mydomain.com.、101.51.251.156、FR 329872、mydomain.com、ns2.mydomain.com.、101.51.251.156、FR
因此,任何人都能够获取此 DNS 上的完整 DNS 记录和托管域。
您可以在以下链接中找到更多信息和帮助:http://www.cert.ssi.gouv.fr/site/CERTA-2012-ACT-048/CERTA-2012-ACT-048.html
您有责任检查此信息的真实性并采取适当的纠正措施
CERT-FR 随时为您提供更多信息或建议
这是投诉,是法语的!
Bonjour,
Le CERT-FR a été informé par l'un de ses partenaires que le ou les
serveurs de noms (DNS) ci-dessous n'effectuent pas de validation de
l'adresse IP source lors de l'utilisation du protocole de transfert de
zone AXFR :
ID,Domain,Name server,IP address,Country
329872,mydomain.com,ns1.mydomain.com.,101.51.251.156,FR
329872,mydomain.com,ns2.mydomain.com.,101.51.251.156,FR
Par conséquent, n'importe qui est en capacité de récupérer l'intégralité
des informations DNS du ou des domaines hébergés sur ce ou ces serveurs
de noms.
Vous pourrez trouver des informations complémentaires à l'aide du lien
suivant :
http://www.cert.ssi.gouv.fr/site/CERTA-2012-ACT-048/CERTA-2012-ACT-048.html
Il vous revient de vérifier la véracité de cette information et de
prendre les mesures de correction adaptées.
Le CERT-FR se tient à votre disposition pour toute information ou
conseil complémentaires.
Cordialement,
在我的 DNS 服务器上我使用 Bind9:
这是我的绑定配置:
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//
options {
listen-on port 53 { 127.0.0.1; 101.51.251.156;}; ### Master DNS IP ###
# listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any;}; ### IP Range ###
// allow-recursion {"none";};
//allow-transfer{ localhost; 101.51.251.156; }; ### Slave DNS IP ###
/*
- If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
- If you are building a RECURSIVE (caching) DNS server, you need to enable
recursion.
- If your recursive DNS server has a public IP address, you MUST enable access
control to limit queries to your legitimate users. Failing to do so will
cause your server to become part of large scale DNS amplification
attacks. Implementing BCP38 within your network would greatly
reduce such attack surface
*/
recursion no;
dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
zone "mydomain.com" IN {
type master;
file "mydomain.com.zone";
allow-update { none; };
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
我的区域文件:
$TTL 86400;
@ IN SOA ns1.mydomain.com. admin.mydomain.com. (
2010062801 ; Serial
10800 ; Refresh
3600 ; Retry
604800 ; Expire
86400 ; Minimum
)
mydomain.com. IN NS ns1.mydomain.com.
mydomain.com. IN NS ns2.mydomain.com.
mydomain.com. IN A 101.51.251.156
ns1.mydomain.com. IN A 101.51.251.156
ns2.mydomain.com. IN A 101.51.251.156
www.mydomain.com. IN A 101.51.251.156
ftp.mydomain.com. IN A 101.51.251.156
mail.mydomain.com. IN A 101.51.251.156
*.mydomain.com. IN A 101.51.251.156
mydomain.com. IN MX 10 mail.mydomain.com.
我想知道我做错了什么,我应该怎么做才能解决这个问题
预先感谢
答案1
您已从allow-transfer
配置中删除了该指令,因此世界上任何人都可以下载您的整个区域文件。
这是否是个问题取决于您是否需要将这些信息保密。