我一直试图阻止 BIND 服务器中的任何查询,但没有成功。我按照这篇文章阻止绑定中的任何请求这说明我可以使用最小响应但它不起作用。
没有一个答案适合我当前的配置。
view world {
match-clients { world-clients; };
allow-recursion { none; };
recursion no;
allow-transfer { key XXXXXX; };
minimal-responses yes;
forwarders { };
include "/etc/bind/world.conf";
};
答案1
您可以将 iptables 与类型记录--hex-string选项一起使用any。
这是基于反抗而放弃“任何”请求
-A INPUT -p udp -m udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm --from 48 --to 65535 -m recent --set --name dnsanyquery --rsource
-A INPUT -p udp -m udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm --from 48 --to 65535 -m recent --rcheck --seconds 60 --hitcount 4 --name dnsanyquery --rsource -j DROP
答案2
你读过吗Andrew B. 的回答? 他表示“没有配置选项可以删除所有类型的查询ANY。”该选项minimal-responses有助于限制攻击,但您应该从响应速率限制开始,正如 hspaans 在他的回答。
该选项minimal-responses不会阻止类型的查询ANY,但会限制响应,以使其在放大攻击中的作用降低。
答案3
“world.conf” 中有什么?您是否有可能从本地主机或私有网络进行测试?这可以解释为什么即使您正确遵循了指南,它仍然有效。