BIND9 установлен на точках безопасности CentOs

Ваш вопрос слишком широк и не содержит слишком много деталей. Вы должны смотреть на RRL и RPZ как на функции связывания, которые могут предоставить по крайней мере часть решения, помимо базовых ACL (не уверен, что вы имеете в виду под фильтрующими клиентами: ваши рекурсивные серверы имен не должны быть открыты для всего мира, в то время как ваши авторитетные имеют to) Ваш первый шаг, однако, должен состоять в том, чтобы отделить авторитетный сервис от рекурсивного.

@PatrickMevzek Спасибо за ваш ответ, я посмотрю на RPZ, поскольку я знаю, что я не думаю, что мы можем фильтровать типы запросов, такие как записи A, IP-адреса клиентов, если честно, я знаю о функции RPZ, я думаю, что не могу сделайте это, и поскольку порт UDP 53 открыт, если один клиент скомпрометирован, как мы можем защитить DNS-серверы от этих DNS-атак, я не уверен, что PSAD может блокировать и идентифицировать эти атаки с помощью сигнатур. обнаруживать DNS-атаки или достаточно использовать PSAD и iptables, нет необходимости в поиске? и спасибо заранее.

«если один клиент скомпрометирован, как мы можем защитить DNS-серверы от этих DNS-атак». В любом случае, вы спрашиваете, прежде чем переходить к решениям, вам нужно будет точно объяснить, от какой атаки вы пытаетесь защитить (без подробного списка), потому что неясно что один клиент может сделать с DNS-сервером в ваших представлениях.

@ Патрик Мевзек, я согласен, что это не очень хорошо объяснено с моей стороны. Так же, как туннелирование DNS, поскольку порт udp 53 открывается в iptables, может ли инструмент PSAD идентифицировать DNS-атаки на основе сигнатур. Заранее спасибо, Патрик.

Этот вопрос на других языках: