domain-name-system – bind:blackhole用于无效的递归查询?

前端之家收集整理的这篇文章主要介绍了domain-name-system – bind:blackhole用于无效的递归查询?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个可公开访问的名称服务器,因为它是几个域的权威名称服务器.

目前,服务器充斥着对isc.org,ripe.net和类似的伪造类型ANY请求(即known distributed DoS attack).

服务器运行BIND并将allow-recursion设置为LAN,以便拒绝这些请求.在这种情况下,服务器只响应权限,而其他部分引用根服务器.

我可以配置BIND以便它完全忽略这些请求,而根本不发送响应吗?

解决方法

面对同样的问题,我选择忽略所有递归请求.当所有解析器想要将我的服务器用作权威服务器时,它会发送非递归查询.在我自己的情况下,只有配置错误的客户端和攻击者才使用递归查询.

不幸的是我没有找到让BIND这样做的方法,但是如果iptables对你来说足够好,我就用了

iptables -t raw -I PREROUTING -i eth0 -p udp --destination-port 53 \
    -m string --algo kmp --from 30 \
    --hex-string "|01000001000000000000|" -j DROP

猜你在找的HTML相关文章