我遇到了问题。基本上,我的公司使用安全软件套件对其主服务器执行查询以检查最新更新。但是,此主机所在的环境在设计上无法为特定客户访问安全性。每当这个软件试图通过电话回家时,我们就会收到安全团队的安全警报,因为它试图在不应该的时候查询/搜索家庭。
主要问题是,它搜索的FQDN是基于MD5哈希,所以每次都是不同的子域,所以第一次它可能是5215-af.domain.com,第二次它将像gz5q-fjs.domain.com。所以我不能只是简单地编辑/ etc / hosts文件。
那么,我该如何阻止域名和所有可能的子域名呢?我想把所有东西都路由回本地主机,因为DNS服务器本身就是引发警报的东西,主机仍然需要DNS服务器来告诉它有关本地的事情(它在云环境中,所以新的主机会启动所有的时间,所以我需要DNS)
答案 0 :(得分:0)
不是完美的解决方案,但您可以尝试string的 iptables 匹配,
iptables -t nat -A OUTPUT -p udp --dport 53 \
-m string --hex-string "domain|03|com" --algo bm \
-j REDIRECT
iptables -t nat -A OUTPUT -p tcp --dport 53 \
-m string --hex-string "domain|03|com" --algo bm \
-j REDIRECT
此规则将任何子域“domain.com”的DNS请求重定向到localhost,栏之间的数字是后续字符串的长度,而不是DNS协议的完整停止编码字符串。
答案 1 :(得分:0)
只是更新,我用dnsmasq解决了这个问题。
地址= / domain.com / 127.0.0.1
然后我将resolve.conf更改为首先使用nameserver 127.0.0.1。
最后,我禁止DHCP对resolve.conf进行更改