Я безуспешно пытался заблокировать ЛЮБЫЕ запросы на моем сервере BIND. Я подписался на этот пост Заблокировать ЛЮБОЙ запрос в Bind в котором говорится, что я могу использовать минимальные ответы, но это не работает.
Ни один из ответов не соответствует моей текущей конфигурации.
view world {
match-clients { world-clients; };
allow-recursion { none; };
recursion no;
allow-transfer { key XXXXXX; };
minimal-responses yes;
forwarders { };
include "/etc/bind/world.conf";
};
Вы читали Ответ Эндрю Б.? Он заявляет, что «нет опции конфигурации для отбрасывания всех запросов типа ANY
." Опция minimal-responses
помогает в ограничении атак, но вы должны начать с ограничения скорости ответа, как упоминает hspaans в его ответ.
Опция minimal-responses
не будет блокировать запросы типа ANY
но будет ограничивать ответы, чтобы сделать их менее полезными при атаках усиления.
вы можете использовать iptables с --hex-string
вариант для any
введите запись.
Это ОТКАЗ «ЛЮБОЙ» ЗАПРОС НА ОСНОВЕ КОНТРОЛЬНОЙ ЗАЩИТЫ
-A INPUT -p udp -m udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm --from 48 --to 65535 -m recent --set --name dnsanyquery --rsource
-A INPUT -p udp -m udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm --from 48 --to 65535 -m recent --rcheck --seconds 60 --hitcount 4 --name dnsanyquery --rsource -j DROP
Что находится в "world.conf"? Возможно ли, что вы тестируете его на локальном хосте или в частной сети? Это объясняет, почему это работает для вас, даже если вы правильно следовали руководству.