Назад | Перейти на главную страницу

Заблокировать любой запрос в BIND

Я безуспешно пытался заблокировать ЛЮБЫЕ запросы на моем сервере BIND. Я подписался на этот пост Заблокировать ЛЮБОЙ запрос в Bind в котором говорится, что я могу использовать минимальные ответы, но это не работает.

Ни один из ответов не соответствует моей текущей конфигурации.

view world {
    match-clients   { world-clients; };
    allow-recursion { none; };
    recursion       no;
    allow-transfer  { key XXXXXX; };

    minimal-responses yes;

    forwarders      { };

    include         "/etc/bind/world.conf";
};

Вы читали Ответ Эндрю Б.? Он заявляет, что «нет опции конфигурации для отбрасывания всех запросов типа ANY." Опция minimal-responses помогает в ограничении атак, но вы должны начать с ограничения скорости ответа, как упоминает hspaans в его ответ.

Опция minimal-responses не будет блокировать запросы типа ANY но будет ограничивать ответы, чтобы сделать их менее полезными при атаках усиления.

вы можете использовать iptables с --hex-string вариант для any введите запись.

Это ОТКАЗ «ЛЮБОЙ» ЗАПРОС НА ОСНОВЕ КОНТРОЛЬНОЙ ЗАЩИТЫ

-A  INPUT -p udp -m udp --dport 53 -m string --hex-string "|0000ff0001|"  --algo bm --from 48 --to 65535  -m recent --set --name dnsanyquery  --rsource
-A INPUT -p udp -m udp --dport 53 -m string --hex-string "|0000ff0001|" --algo bm --from 48 --to 65535 -m recent --rcheck --seconds 60 --hitcount 4 --name dnsanyquery --rsource -j DROP

Что находится в "world.conf"? Возможно ли, что вы тестируете его на локальном хосте или в частной сети? Это объясняет, почему это работает для вас, даже если вы правильно следовали руководству.