在BIND9中,默认可以查询到 version.bind, hostname.bind ,authors.bind的值,很多漏洞检查程序都认为是一种漏洞,version通过named.conf的option就可以关闭,但是hostname和authors不是很好关闭,特别是在gtm下,因此可以考虑使用F5自带的免费pkfilter功能对这些请求进行屏蔽:
1.建立一个pkfilter规则,如下:
其中粘贴的表达式是:dst port 53 and udp[((udp[4:2])-2):2]=3
然后打开pkfilter功能:
这样再查询的时候,GTM就会丢弃这些查询:
Nov 3 23:46:47 tmm tmm[1081]: 01250003:5: deny_chaos (7): discard on vlan 4094, len: 73 [IPv4 59 58.31.248.220 -> 202.*.*.228 UDP 65069 -> 53]
www.myf5.net
Nov 3 23:47:28 tmm tmm[1081]: 01250003:5: deny_chaos (8): discard on vlan 4094, len: 73 [IPv4 59 58.31.248.220 -> 202.*.*.228 UDP 65097 -> 53]
Nov 3 23:47:33 tmm tmm[1081]: 01250003:5: deny_chaos (9): discard on vlan 4094, len: 73 [IPv4 59 58.31.248.220 -> 202.*.*.228 UDP 65097 -> 53]
Nov 3 23:47:38 tmm tmm[1081]: 01250003:5: deny_chaos (10): discard on vlan 4094, len: 73 [IPv4 59 58.31.248.220 -> 202.*.*.228 UDP 65097 -> 53]
Nov 3 23:47:42 tmm tmm[1081]: 01250003:5: deny_chaos (11): discard on vlan 4094, len: 73 [IPv4 59 58.31.248.220 -> 202.*.*.228 UDP 65099 -> 53]
客户端则表现为:
F:\dig>dig @202.*.*.228 txt ch hostname.bind
; <<>> DiG 9.3.2 <<>> @202.*.*.228 txt ch hostname.bind
; (1 server found)
;; global options: printcmd
;; connection timed out; no servers could be reached
文章评论