我目前有iptables阻止所有UDP流量,但我想只允许某些DNS查询通过.
我们以google.com为例.
我正在尝试使用字符串匹配来查找请求中的域名,并允许它.这就是我提出的.
iptables -A OUTPUT -o eth0 -p udp --sport 53 -m string --string "google.com" --algo bm -j ACCEPT
我也试过–dport 53而不是–sport.没有骰子.
如果有人知道如何做到这一点或看到我出错的地方?
解决方法
点“.”在DNS查询中,不表示为字符,而是表示后面的字符串的长度.例如,www.google.com被查询为
0x03 w w w 0x06 g o o g l e 0x03 c o m
您可以通过将域名与–hex-string匹配来轻松地允许/阻止DNS查询.在你的情况下:
-m string --algo bm --hex-string '|06 676f6f676c65 03 636f6d|' -j ACCEPT
将接受包含“.google.com”的每个DNS数据包.
我经常使用这种技术来对抗DNS查询放大攻击.
来源:DNS RFC 1035
