Điểm:-1

BIND9 được cài đặt trên các điểm bảo mật của CentO

lá cờ ru

Hy vọng tất cả các bạn làm tốt.

Trên thực tế, chúng tôi đang chạy một máy chủ DNS trên CentO bằng BIND9, chúng là đệ quy/có thẩm quyền.

Câu hỏi của tôi là bất kỳ cách nào để lọc/Dừng/Giới hạn các loại dựa trên truy vấn DNS như (TXT, NXDOMAIN, v.v ...)

Cảm ơn trước.

Trân trọng, thẳng thắn

Patrick Mevzek avatar
lá cờ cn
Câu hỏi của bạn quá rộng và thiếu quá nhiều chi tiết. Bạn nên xem RRL và RPZ như các tính năng liên kết có thể cung cấp ít nhất một phần của giải pháp, bên cạnh các ACL cơ bản (không chắc ý của bạn là gì đối với các ứng dụng khách bộ lọc: máy chủ định danh đệ quy của bạn không được mở cho cả thế giới, trong khi các máy chủ định danh có thẩm quyền của bạn thì có to) Tuy nhiên, bước đầu tiên của bạn là đảm bảo tách dịch vụ có thẩm quyền khỏi dịch vụ đệ quy.
Franks_Emma avatar
lá cờ ru
@PatrickMevzek Cảm ơn câu trả lời của bạn, tôi sẽ xem xét RPZ, vì kiến ​​thức của tôi, tôi không nghĩ rằng chúng tôi có thể lọc các loại truy vấn như bản ghi A, địa chỉ IP của khách hàng, thành thật mà nói, tôi biết về tính năng RPZ, tôi nghĩ là không thể làm điều này và vì cổng UDP 53 đang mở, nếu một máy khách bị xâm phạm, làm cách nào chúng tôi có thể bảo vệ máy chủ dns khỏi các cuộc tấn công DNS đó, tôi không chắc PSAD có thể chặn và xác định các cuộc tấn công đó bằng chữ ký trong khi bạn có biết cách thực hiện không phát hiện các cuộc tấn công DNS hoặc sử dụng PSAD và iptables là đủ, không cần phải nắm bắt? và cảm ơn trước.
Patrick Mevzek avatar
lá cờ cn
"nếu một khách hàng bị xâm phạm, làm cách nào chúng tôi có thể bảo vệ máy chủ dns khỏi các cuộc tấn công DNS đó" Dù bạn hỏi thế nào, trước khi chuyển sang giải pháp, bạn sẽ cần giải thích chính xác cuộc tấn công mà bạn đang cố gắng chống lại (không có danh sách giặt ủi) vì không rõ ràng những gì một khách hàng có thể làm với máy chủ DNS trong chế độ xem của bạn.
Franks_Emma avatar
lá cờ ru
@Patrick Mevzek, tôi đồng ý rằng nó không được giải thích rõ ràng từ phía tôi, Vì vậy, giống như đường hầm DNS vì cổng udp 53 đang mở trong iptables, công cụ PSAD có thể xác định các cuộc tấn công dns dựa trên chữ ký không. Cảm ơn Patrick trước.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.