domain-name-system – 保护公共DNS免受攻击者攻击的最佳方法

发布时间：2020-12-14 23:43:14 所属栏目：资源来源：网络整理

导读：我有一个公共DNS,我希望防止某些攻击者每隔一秒使用相同的域条目攻击我的DNS服务器.我基于iptables规则暂时这样做,但我想知道是否有一个我们可以用于此目的的自动系统.我想到了fail2ban的http,有没有像这样的DNS查询？谢谢！解决方法 fail2ban不是“for ht

我有一个公共DNS,我希望防止某些攻击者每隔一秒使用相同的域条目攻击我的DNS服务器.我基于iptables规则暂时这样做,但我想知道是否有一个我们可以用于此目的的自动系统.我想到了fail2ban的http,有没有像这样的DNS查询？

谢谢！

解决方法

fail2ban不是“for http”,它是一个基于日志条目采取行动(如在防火墙上禁止IP)的框架.以下是我的DNS服务器的相关配置选项：

named.conf中

logging {
        channel default_file {
                file "/var/log/named.log" size 10m;
                severity info;
                print-time yes;
                print-severity yes;
                print-category yes;
        };
        category default{ default_file; };
};

jail.local

(fail2ban的配置文件)

[named-refused-bsd-ipfw]
enabled  = true
filter   = named-refused
action   = bsd-ipfw
logpath  = /var/named/var/log/named.log
maxretry = 20
bantime = 43200

请注意,这是一个使用IPFW(防火墙)的FreeBSD盒子.您将要使用action iptables并适当地命名规则.

您可能还需要更改日志路径,具体取决于您的安装.请注意,在我的示例中有不同的路径,因为BIND在jail中运行(chrooted到/ var / named).在监狱里奔跑会让事情变得更复杂,但是一旦你习惯了它就会变坏.

您还应该为日志文件设置某种日志轮换机制.

newsyslog.conf

/var/log/named.log      bind:bind       644  7     *    $W6D0 J    /var/run/named/pid 1

您可能还想看看它是谁,它可能是一个开放的解析器(如Google,4.2.2.2-.4等).禁止他们并不禁止真正的“攻击者”.您可以使用dig -x 4.2.2.4对IP进行反向查找,看看是否有帮助.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!