如何避免DNS主機被當成攻擊跳板

1. 設定 ACL,僅允許符合ACL設定的網段進行recursive query。
2. 設定 rate limit,限制單一 IP 在短時間內的查詢次數。

以 BIND 為例設定 DNS 存取權限

1. 在BIND版本9.5之前,recursion的功能是預設開啟的,故管理者必須自行關閉此功能或設定適當的存取權限。
2. 以下為BIND的組態設定檔Name.conf的建議設定
※更多詳細的設定步驟可參考
https://kb.isc.org/category/116/0/10/Software-Products/BIND9/Documentation/
 
/*定義一個ACL,設定能存取DNS服務的IP範圍,此例192.168.0.0/16,可自行調整為貴單位的網段*/
acl "allowed-IP" {
192.168.0.0/16;
};
 
/*僅允許符合ACL設定的網段進行recursive query*/
options {
……
allow-recursion { allowed-IP; };
……
};
 
/*提供貴單位管轄下的網域給其它DNS查詢*/
zone "XXX.edu.tw" in {
    ……
allow-query { any; };  
……
};

以 Windows 為例設定 DNS 存取權限

1.系統管理工具 -> DNS 按右鍵 點選”內容”

2.勾選 “停用遞迴”