domain-name-system – 如何防止Bind响应欺骗性IP地址？

概述我们都知道开放的解析器,这个问题是针对相反的情况.我有一个DNS服务器被锁定到某些CIDR acl trusted {[..] options {[..]allow-query { // Accept queries from our "trusted" ACL. We will // allow anyone to query our mas 我们都知道开放的解析器,这个问题是针对相反的情况.我有一个DNS服务器被锁定到某些CIDR acl trusted {[..]

options {[..]allow-query {            // Accept querIEs from our "trusted" ACL.  We will            // allow anyone to query our master zones below.            // This prevents us from becoming a free DNS server            // to the masses.            trusted;};

这很有效.

但是,它不会阻止允许范围内的受感染主机发送欺骗(最常见的类型ANY)请求.这些已经解决,响应仍然发送到“请求”它的欺骗性IP(通常是攻击者的目标).

如何防止DNS服务器解析在受信任范围之外请求的域？这甚至是绑定应该做的事情吗？

解决方法 这不是您应该尝试在服务层解决的问题.

>不允许网外流量向DNS侦听器发出入站请求.
>对客户生成的数据包执行源地址验证(如果适用).
这可以防止来自网络内部的放大攻击.

这些问题源于坐在您面前的网络拓扑的设计.试图从服务器本身解决这些问题是一场失败的战斗.

总结

以上是内存溢出为你收集整理的domain-name-system – 如何防止Bind响应欺骗性IP地址？全部内容，希望文章能够帮你解决domain-name-system – 如何防止Bind响应欺骗性IP地址？所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。