目前在 RHEL 5.4 上运行 BIND,并且正在寻找一种更有效的方式为大量(30,000+)禁止域列表提供 DNS 重定向到蜜罐服务器。
我们目前针对此要求的解决方案是在 named.conf 中包含一个包含每个被阻止域的区域主声明的文件。随后,这些区域声明中的每一个都指向同一个区域文件,该文件将该域中的所有主机解析为我们的蜜罐服务器。...基本上,这使我们能够捕获可能渗透到内部系统的恶意软件的任何“电话回家”尝试。
此配置的问题是加载所有 30,000 多个域以及域列表配置文件本身的管理需要大量时间……如果此文件中出现任何错误,BIND 服务器将无法启动,从而导致自动化的过程有点吓人。所以我正在寻找更有效且可能更不容易出错的东西。
named.conf 条目:
include "blackholes.conf";
blackholes.conf 条目示例:
zone "bad-domain.com" IN { type master; file "/var/named/blackhole.zone"; allow-query { any; }; notify no; };
blackhole.zone 条目:
$INCLUDE std.soa
@ NS ns1.ourdomain.com。
@ NS ns2.ourdomain.com。
@ NS ns3.ourdomain.com。在 192.168.0.99
* 在 192.168.0.99