响应策略区域(Response policy zones)
响应策略区域(RPZ)是使用递归DNS服务器控制查询者可以查询和不能查询的内容的一种方式。通过了解客户端正在查询的服务器和服务的信誉,可以确定递归服务器接收某些域名查询或在DNS响应中看到指向那些恶意服务器的信息时要采取的措施。
RPZ工作原理的总体思路是,可以为如何处理特定查询(或响应)创建策略,并选择要采取的一些可能操作(如将客户端重定向到内部安全页),然后将这些策略存储在DNS服务器上的特别权威区域中。还可以通过将这些区域从DNS服务器传输到(另外的)DNS服务器来共享这些区域。
RPZ中的记录也是由owner name,type和rdata组成。只是RPZ区域不会用于接收用户发起的请求,只在用户发起的请求时会匹配RPZ定义的规则。RPZ规则中owner name用于定义触发器,rdata用于定义动作,即满足触发器的请求会按照策略执行相应的动作。
RPZ 作用
RPZ触发器
匹配到180.101.49.0/24IP段后,www.baidu.com将会返回NXDOMAIN。
RPZ执行动作
Bind响应策略区域配置
vim /etc/named/named.conf
RPZ日志配置
RPZ zone 配置
vim named.rfc1912.zones
RPZ 区域主配置文件
vim /var/named/rpz.test.local
$TTL 10M
@ IN SOA kylin.zabbix.com. dnsadmin.zabbix.com. ( 1 ;序列号 1H ;1小时后刷新 5M ;15分钟后重试 7D ;1星期后过期 1D );否定缓存TTL为1天 IN NS kylin
www.jd.com IN A 192.168.100.161
*.google.com IN A 192.168.100.161
www.souhu.com CNAME www.baidu.com.
www.3399.com CNAME .
RPZ 区域域名dig测试
www.jd.com
*.google.com
www.souhu.com
www.3399.com
查看RPZ日志
tail -n 10 /var/named/data/rpz.log