запретить DNS-запросы `./ANY/IN` с помощью iptables

Avenger

12.12.2022, 00:18

Я получаю несколько отклоненных DNS-запросов, которые я хотел бы запретить с помощью iptables, чтобы избежать привязки для отправки расширенных ответов на сервер ... и что они просто раздражают в моих журналах.

(.): запрос (кэш) './ANY/IN' запрещен

Я знаю, что с такими запросами, как

(domain.com): запрос (кэш) 'domain.com/ANY/IN' отклонен

Я могу заблокировать только:

iptables -I INPUT -j DROP -p udp --dport 53 -m string --hex-string "|06|domain|03|com|0000ff0001|" --алго бм

Но я не уверен в этом "общем" запросе ./ЛЮБОЙ/В. Сначала это выглядит примерно так:

iptables -I INPUT -j DROP -p udp --dport 53 -m string --hex-string "|0000ff0001|" --алго бм

мог бы сделать... но тогда я задаюсь вопросом, не буду ли я блокировать запросы для чего-либо

(небольшое примечание: обычно люди не заботятся о последнем 00ff0001 бит, который я использую, это байты для тип и класс запроса, если вам интересно)

0 + 4

система доменных имен

iptables

Дженту

блокировать

anx

12.12.2022, 04:48

Вы хотите отбросить определенные пакеты... чтобы было легче читать логи? Больше похоже на то, что вы хотите начать читать *отфильтрованные* журналы в каком-нибудь удобном для человека пейджере.

Ответить

Avenger

12.12.2022, 21:31

Да и нет. Я также хочу, чтобы bind не отвечал на такие DoS-запросы. И я доволен, наблюдая, как увеличивается количество совпадений правил iptables для статистики.

Ответить

Patrick Mevzek

12.12.2022, 21:55

Что касается темы «ЛЮБЫХ» DNS-запросов, вы можете посмотреть это, прежде чем что-либо делать: https://datatracker.ietf.org/doc/html/rfc8482; фильтрация DNS-запросов на транспортном уровне часто является идеей, которая имеет неприятные последствия: клиент, не получивший ответа, просто снова запросит ваш сервер (вы никогда не сможете это запретить, но если вы предоставите минимальный ответ, клиент с хорошим поведением может перестать спрашивать вас. ..); за исключением случаев, когда вы определяете какие-то конкретные плохие IP-адреса, а затем просто баните их за любой трафик.

Ответить

Patrick Mevzek

12.12.2022, 21:59

Что касается вашей фильтрации: фильтрация DNS-пакетов в целом намного сложнее. Сначала вам нужно сделать это как в TCP, так и в UDP. Во-вторых, шестнадцатеричная строка, которую вы используете, может появиться во многих других частях пакета, поэтому вы рискуете как ложными положительными, так и отрицательными значениями (и особенно в отношении имен, поскольку в пакетах DNS существует сжатие имен, поэтому данное доменное имя может быть представлено в сети в разных модах)

Ответить

Admin

Этот вопрос на других языках:

EN: ban `./ANY/IN` DNS queries using iptables

TH: ห้าม `./ANY/IN` สืบค้น DNS โดยใช้ iptables

RO: interzice interogările DNS `./ANY/IN` folosind iptables

RU: запретить DNS-запросы `./ANY/IN` с помощью iptables

VI: cấm truy vấn DNS `./ANY/IN` sử dụng iptables

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.