Rec*_*cct 6 domain-name-system debian bind
我们都知道开放式解析器,这个问题有点针对相反的情况。我有一个被锁定到某些 CIDR 的 DNS 服务器acl trusted {[..]
options {
[..]
allow-query {
// Accept queries from our "trusted" ACL. We will
// allow anyone to query our master zones below.
// This prevents us from becoming a free DNS server
// to the masses.
trusted;
};
这有效。
但是,它不会阻止在允许范围内的受感染主机发送欺骗(最常见的类型为 ANY)请求。那些被解析并且响应仍然发送到“请求”它的欺骗IP(通常是攻击者的目标)。
如何防止 DNS 服务器解析在受信任范围之外请求的域?这甚至是绑定应该做的事情吗?
And*_*w B 10
这不是您应该在服务层尝试解决的问题。
这些问题的根源在于您面前的网络拓扑设计。尝试从服务器本身解决这些问题是一场失败的战斗。