Как отключить внешнюю рекурсию DNS в BIND?

Убунту 8

BIND, также известный как Интернет-домен Беркли, представляет собой популярное программное обеспечение, используемое для служб DNS. Это позволяет вашему серверу стать DNS-сервером, который может преобразовывать доменные имена в IP-адреса. Однако особенность BIND, известная как рекурсия, иногда может быть использована злоумышленниками для проведения атак с усилением DNS. В результате часто рекомендуется отключить внешнюю рекурсию DNS в BIND. Эта статья проведет вас через этот процесс.

Чтобы отключить внешнюю рекурсию DNS в BIND, вам необходимо изменить файл конфигурации BIND (/etc/bind/named.conf.options). Добавьте строки «allow-transfer {»none»;};», «allow-recursion {»none»;};» и «recursion no;». в разделе параметров файла. Сохраните, закройте и перезапустите службу BIND, чтобы применить изменения. Это не позволит вашему серверу BIND отвечать на рекурсивные запросы.

Понимание рекурсии DNS

Прежде чем мы углубимся в процесс отключения рекурсии DNS, важно понять, что это такое. Рекурсия DNS — это процесс, при котором DNS-сервер запрашивает другие DNS-серверы от имени клиента, чтобы полностью разрешить имя и вернуть ответ клиенту. Хотя это полезная функция для клиентов, злоумышленники могут использовать ее для перегрузки сервера запросами, что приводит к атаке типа «отказ в обслуживании» (DoS).

Отключение всех рекурсивных запросов DNS

Чтобы отключить все рекурсивные запросы DNS, вам необходимо изменить файл конфигурации BIND. Этот файл обычно находится по адресу /etc/bind/named.conf.options.

Откройте файл с помощью текстового редактора. Вы можете использовать nano, vim или любой другой текстовый редактор, который вам нравится. Например:

sudo nano /etc/bind/named.conf.options

В разделе параметров файла добавьте следующие строки:

разрешить-передачу {“нет”;}; разрешить-рекурсию {“нет”;}; рекурсия нет;

Вот что делает каждая строка:

  • allow-transfer {“none”;};: Эта строка отключает передачу зон, что может помочь защитить ваши данные DNS.
  • allow-recursion {“none”;};: Эта строка отключает рекурсию DNS.
  • recursion no;: Эта строка также отключает рекурсию DNS.

Сохраните и закройте файл. Затем перезапустите службу BIND, чтобы применить изменения:

sudo systemctl перезапустить привязку 9

Теперь ваш сервер BIND откажется отвечать на рекурсивные запросы.

Отключение рекурсии DNS только для внешних запросов

В некоторых случаях вам может потребоваться отключить рекурсию DNS только для запросов внешней сети, оставив ее включенной для запросов внутренней сети. Вы можете сделать это, используя представления в BIND.

Вот пример конфигурации:

// глобальные параметры применяются к внешним клиентам options { recursion no; дополнительный-от-авторизации нет; дополнительный из кэша нет; }; view “local” in { // параметры просмотра включают рекурсию только для локальных клиентов match-clients { 172.16.45.80/23; 192.168.12.0/24; 127.0.0.1/8; ::1; }; рекурсия да; дополнительная аутентификация да; дополнительный из кэша да; // поместите сюда определения для таких зон, как “localhost” и “127.in-addr.arpa” } // поместите сюда определения для реальных авторитетных зон.

В этой конфигурации:

  • Глобальные параметры отключают рекурсию для всех клиентов.
  • «Локальное» представление включает рекурсию только для указанных диапазонов IP-адресов, которые считаются запросами внутренней сети. Вы можете настроить диапазоны IP-адресов в соответствии с вашей внутренней сетью.

Сохраните и закройте файл, затем перезапустите службу BIND, чтобы применить изменения.

Заключение

Отключение внешней рекурсии DNS в BIND — важный шаг в обеспечении безопасности вашего DNS-сервера. Независимо от того, решите ли вы отключить все рекурсивные запросы или только запросы из внешних сетей, вы защитите свой сервер от потенциальных атак с усилением DNS. Всегда не забывайте перезапускать службу BIND после внесения изменений в файл конфигурации, чтобы изменения вступили в силу.

BIND, сокращение от Berkeley Internet Name Domain, представляет собой широко используемое программное обеспечение для служб DNS. Это позволяет серверу стать DNS-сервером, преобразующим доменные имена в IP-адреса.

Рекурсия DNS — это процесс, при котором DNS-сервер запрашивает другие DNS-серверы от имени клиента, чтобы полностью разрешить доменное имя и вернуть ответ клиенту.

Внешняя рекурсия DNS в BIND может быть использована злоумышленниками для проведения атак с усилением DNS, что приводит к атаке типа «отказ в обслуживании» (DoS). Отключение этого параметра помогает защитить ваш сервер от таких атак.

Чтобы отключить все рекурсивные запросы DNS в BIND, вам необходимо изменить файл конфигурации BIND. Откройте файл /etc/bind/named.conf.options и добавьте строкиallow-transfer {“none”;};,allow-recursion {“none”;}; и recursion no; в разделе опций. Сохраните файл и перезапустите службу BIND.

Да, вы можете отключить рекурсию DNS только для внешних запросов, оставив ее включенной для запросов внутренней сети, используя представления в BIND. Настройте «локальное» представление, чтобы включить рекурсию для указанных внутренних диапазонов IP-адресов, и установите глобальные параметры для отключения рекурсии для всех клиентов.

Чтобы перезапустить службу BIND после внесения изменений в файл конфигурации, используйте команду sudo systemctl restartbind9. Это применит изменения и перезапустит службу BIND.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *