domain-name-system – 保护公共DNS免受攻击者攻击的最佳方法

前端之家收集整理的这篇文章主要介绍了domain-name-system – 保护公共DNS免受攻击者攻击的最佳方法前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个公共DNS,我希望防止某些攻击者每隔一秒使用相同的域条目攻击我的DNS服务器.我基于iptables规则暂时这样做,但我想知道是否有一个我们可以用于此目的的自动系统.我想到了fail2ban的http,有没有像这样的DNS查询

谢谢!

解决方法

fail2ban不是“for http”,它是一个基于日志条目采取行动(如在防火墙上禁止IP)的框架.以下是我的DNS服务器的相关配置选项:

named.conf中

logging {
        channel default_file {
                file "/var/log/named.log" size 10m;
                severity info;
                print-time yes;
                print-severity yes;
                print-category yes;
        };
        category default{ default_file; };
};

jail.local

(fail2ban的配置文件)

[named-refused-bsd-ipfw]
enabled  = true
filter   = named-refused
action   = bsd-ipfw
logpath  = /var/named/var/log/named.log
maxretry = 20
bantime = 43200

请注意,这是一个使用IPFW(防火墙)的FreeBSD盒子.您将要使用action iptables并适当地命名规则.

您可能还需要更改日志路径,具体取决于您的安装.请注意,在我的示例中有不同的路径,因为BIND在jail中运行(chrooted到/ var / named).在监狱里奔跑会让事情变得更复杂,但是一旦你习惯了它就会变坏.

您还应该为日志文件设置某种日志轮换机制.

newsyslog.conf

/var/log/named.log      bind:bind       644  7     *    $W6D0 J    /var/run/named/pid 1

您可能还想看看它是谁,它可能是一个开放的解析器(如Google,4.2.2.2-.4等).禁止他们并不禁止真正的“攻击者”.您可以使用dig -x 4.2.2.4对IP进行反向查找,看看是否有帮助.

猜你在找的HTML相关文章