阻止 RHEL 上所有可能的子域的所有流量?
Block all traffic to all possible sub domains on RHEL?
我 运行 遇到了问题。从本质上讲,我的公司使用一套安全软件套装对其主服务器执行查询以检查最新更新。但是,出于安全目的,该主机所在的环境在设计上无法为特定客户访问互联网。每次此软件尝试 "phone home" 时,我们都会收到安全团队的安全警报,因为它在不应该的情况下试图 query/search 回家。
主要问题是它搜索的 FQDN 基于 MD5 哈希,因此每次都是不同的子域,所以第一次可能是 5215-af.domain.com,第二次时间它会像 gz5q-fjs.domain.com。所以我不能只对 /etc/hosts 文件进行简单的编辑。
那么,我该如何阻止一个域和所有可能的子域?我想将所有内容路由回本地主机,因为 DNS 服务器本身会触发警报,而主机仍然需要 DNS 服务器告诉它有关本地的事情(它在云环境中,因此新主机会启动所有是时候了,所以我需要 DNS)
不是完美的解决方案,但您可以尝试 string 与 iptables、
的匹配
iptables -t nat -A OUTPUT -p udp --dport 53 \
-m string --hex-string "domain|03|com" --algo bm \
-j REDIRECT
iptables -t nat -A OUTPUT -p tcp --dport 53 \
-m string --hex-string "domain|03|com" --algo bm \
-j REDIRECT
此规则将任何子域 "domain.com" 的 DNS 请求重定向到 localhost,条之间的数字是后面字符串的长度而不是句号 DNS 协议编码字符串。
只是一个更新,我用 dnsmasq 解决了这个问题。
地址=/域。com/127.0.0.1
然后我将 resolve.conf 更改为首先使用名称服务器 127.0.0.1。
最后我禁止 DHCP 对 resolve.conf
进行更改
我 运行 遇到了问题。从本质上讲,我的公司使用一套安全软件套装对其主服务器执行查询以检查最新更新。但是,出于安全目的,该主机所在的环境在设计上无法为特定客户访问互联网。每次此软件尝试 "phone home" 时,我们都会收到安全团队的安全警报,因为它在不应该的情况下试图 query/search 回家。
主要问题是它搜索的 FQDN 基于 MD5 哈希,因此每次都是不同的子域,所以第一次可能是 5215-af.domain.com,第二次时间它会像 gz5q-fjs.domain.com。所以我不能只对 /etc/hosts 文件进行简单的编辑。
那么,我该如何阻止一个域和所有可能的子域?我想将所有内容路由回本地主机,因为 DNS 服务器本身会触发警报,而主机仍然需要 DNS 服务器告诉它有关本地的事情(它在云环境中,因此新主机会启动所有是时候了,所以我需要 DNS)
不是完美的解决方案,但您可以尝试 string 与 iptables、
iptables -t nat -A OUTPUT -p udp --dport 53 \
-m string --hex-string "domain|03|com" --algo bm \
-j REDIRECT
iptables -t nat -A OUTPUT -p tcp --dport 53 \
-m string --hex-string "domain|03|com" --algo bm \
-j REDIRECT
此规则将任何子域 "domain.com" 的 DNS 请求重定向到 localhost,条之间的数字是后面字符串的长度而不是句号 DNS 协议编码字符串。
只是一个更新,我用 dnsmasq 解决了这个问题。
地址=/域。com/127.0.0.1
然后我将 resolve.conf 更改为首先使用名称服务器 127.0.0.1。
最后我禁止 DHCP 对 resolve.conf
进行更改