高防服务器

使用iptables封锁对某个域名的DNS查询


使用iptables封锁对某个域名的DNS查询

发布时间:2020-02-24 19:40:09 来源:网络 阅读:869 作者:757781091 栏目:安全技术

现在有一需求,需要禁止主机对某一个域名的DNS查询,想到用iptables的string模块,使用下面的命令:

iptables -D OUTPUT -m string --string "www.baidu.com" --algo bm -j DROP

但使用上面的命令并不能过滤对www.baidu.com 的查询。根据参考链接中的文档,www.baidu.com 在DNS查询时会被编码如下:

03www05baidu03com

编码时域名以点被分为各子字符串(www,baidu和com)“.”不会被编码,每个子字符串前面是这个字符串的长度。下面是对DNS查询的抓包:

字符串 www.baidu.com 被编码十六进制为:

03 77 77 77 05 62 61 69 64 75 03 63 6f 6d

77的是w的ascii码,其余字符也可以对照ascii进行查询。77 77 77 前面的03正是www这三个字符串的长度。
根据参考链接,可以使用iptables的string模块的十六进字符串进行过滤

iptables -A OUTPUT -p udp --dport 53 -m string --hex-string "|03|www|05|baidu|03|com|" --algo bm -j DROP

iptables 自动将

|03|www|05|baidu|03|com|

转换成十六进制。
参考链接:
https://linuxsecurity101.com/2018/11/18/tips-and-tricks-blocking-dns-requests-via-iptables/

[微信提示:高防服务器能助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。

[图文来源于网络,不代表本站立场,如有侵权,请联系高防服务器网删除]
[