我们都知道开放的解析器,这个问题是针对相反的情况.我有一个DNS服务器被锁定到某些CIDR acl trusted {[..]
options { [..] allow-query { // Accept queries from our "trusted" ACL. We will // allow anyone to query our master zones below. // This prevents us from becoming a free DNS server // to the masses. trusted; };
这很有效.
但是,它不会阻止允许范围内的受感染主机发送欺骗(最常见的类型ANY)请求.这些已经解决,响应仍然发送到“请求”它的欺骗性IP(通常是攻击者的目标).
如何防止DNS服务器解析在受信任范围之外请求的域?这甚至是绑定应该做的事情吗?