domain-name-system – 保护公共DNS免受攻击者攻击的最佳方法

概述我有一个公共DNS,我希望防止某些攻击者每隔一秒使用相同的域条目攻击我的DNS服务器.我基于iptables规则暂时这样做,但我想知道是否有一个我们可以用于此目的的自动系统.我想到了fail2ban的http,有没有像这样的DNS查询？ 谢谢！ fail2ban不是“for http”,它是一个基于日志条目采取行动(如在防火墙上禁止IP)的框架.以下是我的DNS服务器的相关配置选项： named. 我有一个公共DNS,我希望防止某些攻击者每隔一秒使用相同的域条目攻击我的DNS服务器.我基于iptables规则暂时这样做,但我想知道是否有一个我们可以用于此目的的自动系统.我想到了fail2ban的http,有没有像这样的DNS查询？

谢谢！

解决方法 fail2ban不是“for http”,它是一个基于日志条目采取行动(如在防火墙上禁止IP)的框架.以下是我的DNS服务器的相关配置选项：

named.conf中

logging {        channel default_file {                file "/var/log/named.log" size 10m;                severity info;                print-time yes;                print-severity yes;                print-category yes;        };        category default{ default_file; };};

jail.local

(fail2ban的配置文件)

[named-refused-bsd-ipfw]enabled  = truefilter   = named-refusedaction   = bsd-ipfwlogpath  = /var/named/var/log/named.logmaxretry = 20bantime = 43200

请注意,这是一个使用IPFW(防火墙)的FreeBSD盒子.您将要使用action iptables并适当地命名规则.

您可能还需要更改日志路径,具体取决于您的安装.请注意,在我的示例中有不同的路径,因为BIND在jail中运行(chrooted到/ var / named).在监狱里奔跑会让事情变得更复杂,但是一旦你习惯了它就会变坏.

您还应该为日志文件设置某种日志轮换机制.

newsyslog.conf

/var/log/named.log      bind:bind       644  7     *    $W6D0 J    /var/run/named/pID 1

您可能还想看看它是谁,它可能是一个开放的解析器(如Google,4.2.2.2-.4等).禁止他们并不禁止真正的“攻击者”.您可以使用dig -x 4.2.2.4对IP进行反向查找,看看是否有帮助.

总结

以上是内存溢出为你收集整理的domain-name-system – 保护公共DNS免受攻击者攻击的最佳方法全部内容，希望文章能够帮你解决domain-name-system – 保护公共DNS免受攻击者攻击的最佳方法所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。