<div dir="ltr">Here is my file, the ip have been change to protect the wicked <br><br>root@inferno:/etc/bind# cat named.conf.options <br><br>options {<br><br>directory &quot;/var/cache/bind&quot;;<br><br><br>// If there is a firewall between you and nameservers you want<br><br>// to talk to, you may need to fix the firewall to allow multiple<br><br>// ports to talk.  See <a href="http://www.kb.cert.org/vuls/id/800113">http://www.kb.cert.org/vuls/id/800113</a><br><br><br>// If your ISP provided one or more IP addresses for stable <br><br>// nameservers, you probably want to use them as forwarders.  <br><br>// Uncomment the following block, and insert the addresses replacing <br><br>// the all-0&#39;s placeholder.<br><br><br>// forwarders {<br><br>// 0.0.0.0;<br><br>// };<br><br><br>rate-limit {<br><br>    responses-per-second 15;<br><br>    window 5;<br><br>};<br><br><br>forwarders {<br><br>208.67.222.222;<br><br>208.67.220.220;<br><br>};<br><br><br>        auth-nxdomain no;    # conform to RFC1035<br><br>l       isten-on-v6 { none; };<br><br>     <br><br><br>allow-query {<br><br>       208.67.222.222;<br>       208.67.220.220;<div>       75.75.75.75;</div><div>       75.76.75.76;<br>       8.8.8.8;<br>       71.1.2.11;<br>       <a href="http://127.0.0.1/8">127.0.0.1/8</a>;<div>       <a href="http://50.1.59.24/28">50.1.59.24/28</a>;</div><div>       <a href="http://192.168.0.0/24">192.168.0.0/24</a>;<br>        <a href="http://209.120.10.128/25">209.120.10.128/25</a>;</div></div><br>        };<br><br>recursive-clients 15;<br><br><br>additional-from-cache no;<br><br><br>allow-recursion {<br><br>       208.67.222.222;<br>       208.67.220.220;<div>       75.75.75.75;</div><div>       75.76.75.76;<br>       8.8.8.8;<br>       71.1.2.11;<br>       <a href="http://127.0.0.1/8">127.0.0.1/8</a>;<div>       <a href="http://50.1.59.24/28">50.1.59.24/28</a>;</div><div>       <a href="http://192.168.0.0/24">192.168.0.0/24</a>;<br>        <a href="http://209.120.10.128/25">209.120.10.128/25</a>;</div></div><br>};<br><br>allow-recursion-on {<br><br>       208.67.222.222;<br>       208.67.220.220;<div>       75.75.75.75;</div><div>       75.76.75.76;<br>       8.8.8.8;<br>       71.1.2.11;<br>       <a href="http://127.0.0.1/8">127.0.0.1/8</a>;<div>       <a href="http://50.1.59.24/28">50.1.59.24/28</a>;</div><div>       <a href="http://192.168.0.0/24">192.168.0.0/24</a>;<br>        <a href="http://209.120.10.128/25">209.120.10.128/25</a>;<br><br>};<br><br>blackhole { <br><br>      botnet_pukes; <br><br>};<br><br> <br><br>        //multiple-cname yes;<br><br><br>};<br><br><br>On Mon, Oct 6, 2014 at 3:59 PM, Horkan Smith &lt;<a href="mailto:ale@horkan.net">ale@horkan.net</a>&gt; wrote:<br>&gt;<br>&gt; I&#39;ve also seen a setup where both internal and external DNS servers are running on the same machine, but I&#39;d have to dig out the config options they used.<br>&gt;<br>&gt; later!<br>&gt;    horkan<br>&gt;<br>&gt; On Mon, Oct 06, 2014 at 03:57:19PM -0400, Horkan Smith wrote:<br>&gt; &gt; Yup, that&#39;s a fair critique - it hasn&#39;t been an issue yet, but I really should switch my setup around.<br>&gt; &gt;<br>&gt; &gt; I have a virtual machine running bind9 and postfix for a brain-damaged internal printer - I should swap DHCP to point there and see what happens.<br>&gt; &gt;<br>&gt; &gt; later!<br>&gt; &gt;    horkan<br>&gt; &gt;<br>&gt; &gt; On Mon, Oct 06, 2014 at 03:47:05PM -0400, Michael H. Warfield wrote:<br>&gt; &gt; &gt; On Mon, 2014-10-06 at 15:13 -0400, Horkan Smith wrote:<br>&gt; &gt; &gt; &gt; Can you share the lines where you control access (including recursion)?  In my case, they look like:<br>&gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; named.conf.options:<br>&gt; &gt; &gt; &gt;         allow-transfer { home-nets; domain-backups; };<br>&gt; &gt; &gt; &gt;         allow-recursion { home-nets; domain-backups; };<br>&gt; &gt; &gt; &gt;         allow-query { home-nets; domain-backups; };<br>&gt; &gt; &gt;<br>&gt; &gt; &gt; It&#39;s worth noting that these do not prevent attackers from exploiting<br>&gt; &gt; &gt; your own name servers to attack you internally.  They just spoof the<br>&gt; &gt; &gt; requests from your internal (even private) addresses to request huge<br>&gt; &gt; &gt; blocks of response data which will then be cached in your servers and<br>&gt; &gt; &gt; reflected back to hammer you.  It&#39;s much better if you can block access<br>&gt; &gt; &gt; from the external net (either external interface or at your router) to<br>&gt; &gt; &gt; your recursive cacher, which then blocks incoming spoofed packets from<br>&gt; &gt; &gt; your internal addresses.  Most firewalls can discriminate between<br>&gt; &gt; &gt; recursive requests and terminal requests, so you&#39;ll still end up needing<br>&gt; &gt; &gt; a non-recursive DNS server for your authoritative zones.<br>&gt; &gt; &gt;<br>&gt; &gt; &gt; Regards,<br>&gt; &gt; &gt; Mike<br>&gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; Where home-nets and domain-backups are defined as acls.<br>&gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; later!<br>&gt; &gt; &gt; &gt;    horkan<br>&gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; On Mon, Oct 06, 2014 at 12:03:39PM -0400, Chuck Payne wrote:<br>&gt; &gt; &gt; &gt; &gt; Guys,<br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt; I am under attack where my dns server is being used to do a ddos attack. I<br>&gt; &gt; &gt; &gt; &gt; believe it&#39;s a bot net, because the ip are too random. I don&#39;t think the<br>&gt; &gt; &gt; &gt; &gt; domain I am seeing in my bind log is real<br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt; fkfkfkfz.guru<br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt; 06-Oct-2014 11:23:28.146 client 92.222.9.179#49643: query: fkfkfkfz.guru IN<br>&gt; &gt; &gt; &gt; &gt; ANY +E (50.192.59.225)<br>&gt; &gt; &gt; &gt; &gt; 06-Oct-2014 11:23:28.146 client 92.222.9.179#49643: query (cache)<br>&gt; &gt; &gt; &gt; &gt; &#39;fkfkfkfz.guru/ANY/IN&#39; denied<br>&gt; &gt; &gt; &gt; &gt; 06-Oct-2014 11:23:28.146 client 92.222.9.179#49643: drop REFUSED response<br>&gt; &gt; &gt; &gt; &gt; to <a href="http://92.222.9.0/24">92.222.9.0/24</a><br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt; I have turn on recursion, but now people can&#39;t find my domains any more.<br>&gt; &gt; &gt; &gt; &gt; I have also try to limit the rate as well<br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt;   rate-limit {<br>&gt; &gt; &gt; &gt; &gt;                 responses-per-second 25;<br>&gt; &gt; &gt; &gt; &gt;                 window 5;<br>&gt; &gt; &gt; &gt; &gt;         };<br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt; I am running Debian and openSUSE.<br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt; Anything I can do to stop them and make where people can find my domains? I<br>&gt; &gt; &gt; &gt; &gt; don&#39;t want to have to pay for something I can do and have control over.<br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt; --<br>&gt; &gt; &gt; &gt; &gt; Terror PUP a.k.a<br>&gt; &gt; &gt; &gt; &gt; Chuck &quot;PUP&quot; Payne<br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt; 678 636 9678<br>&gt; &gt; &gt; &gt; &gt; -----------------------------------------<br>&gt; &gt; &gt; &gt; &gt; Discover it! Enjoy it! Share it! openSUSE Linux.<br>&gt; &gt; &gt; &gt; &gt; -----------------------------------------<br>&gt; &gt; &gt; &gt; &gt; openSUSE -- Terrorpup<br>&gt; &gt; &gt; &gt; &gt; openSUSE Ambassador/openSUSE Member<br>&gt; &gt; &gt; &gt; &gt; skype,twiiter,identica,friendfeed -- terrorpup<br>&gt; &gt; &gt; &gt; &gt; freenode(irc) --terrorpup/lupinstein<br>&gt; &gt; &gt; &gt; &gt; Register Linux Userid: 155363<br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt; Have you tried SUSE Studio? Need to create a Live CD,  an app you want to<br>&gt; &gt; &gt; &gt; &gt; package and distribute , or create your own linux distro. Give SUSE Studio<br>&gt; &gt; &gt; &gt; &gt; a try.<br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt; --<br>&gt; &gt; &gt; &gt; &gt; Terror PUP a.k.a<br>&gt; &gt; &gt; &gt; &gt; Chuck &quot;PUP&quot; Payne<br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt; 678 636 9678<br>&gt; &gt; &gt; &gt; &gt; -----------------------------------------<br>&gt; &gt; &gt; &gt; &gt; Discover it! Enjoy it! Share it! openSUSE Linux.<br>&gt; &gt; &gt; &gt; &gt; -----------------------------------------<br>&gt; &gt; &gt; &gt; &gt; openSUSE -- Terrorpup<br>&gt; &gt; &gt; &gt; &gt; openSUSE Ambassador/openSUSE Member<br>&gt; &gt; &gt; &gt; &gt; skype,twiiter,identica,friendfeed -- terrorpup<br>&gt; &gt; &gt; &gt; &gt; freenode(irc) --terrorpup/lupinstein<br>&gt; &gt; &gt; &gt; &gt; Register Linux Userid: 155363<br>&gt; &gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt; Have you tried SUSE Studio? Need to create a Live CD,  an app you want to<br>&gt; &gt; &gt; &gt; &gt; package and distribute , or create your own linux distro. Give SUSE Studio<br>&gt; &gt; &gt; &gt; &gt; a try.<br>&gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt; &gt; _______________________________________________<br>&gt; &gt; &gt; &gt; &gt; Ale mailing list<br>&gt; &gt; &gt; &gt; &gt; <a href="mailto:Ale@ale.org">Ale@ale.org</a><br>&gt; &gt; &gt; &gt; &gt; <a href="http://mail.ale.org/mailman/listinfo/ale">http://mail.ale.org/mailman/listinfo/ale</a><br>&gt; &gt; &gt; &gt; &gt; See JOBS, ANNOUNCE and SCHOOLS lists at<br>&gt; &gt; &gt; &gt; &gt; <a href="http://mail.ale.org/mailman/listinfo">http://mail.ale.org/mailman/listinfo</a><br>&gt; &gt; &gt; &gt;<br>&gt; &gt; &gt; &gt;<br>&gt; &gt; &gt;<br>&gt; &gt; &gt; --<br>&gt; &gt; &gt; Michael H. Warfield (AI4NB) | (770) 978-7061 |  mhw@WittsEnd.com<br>&gt; &gt; &gt;    /\/\|=mhw=|\/\/          | (678) 463-0932 |  <a href="http://www.wittsend.com/mhw/">http://www.wittsend.com/mhw/</a><br>&gt; &gt; &gt;    NIC whois: MHW9          | An optimist believes we live in the best of all<br>&gt; &gt; &gt;  PGP Key: 0x674627FF        | possible worlds.  A pessimist is sure of it!<br>&gt; &gt; &gt;<br>&gt; &gt;<br>&gt; &gt;<br>&gt; &gt;<br>&gt; &gt; &gt; _______________________________________________<br>&gt; &gt; &gt; Ale mailing list<br>&gt; &gt; &gt; <a href="mailto:Ale@ale.org">Ale@ale.org</a><br>&gt; &gt; &gt; <a href="http://mail.ale.org/mailman/listinfo/ale">http://mail.ale.org/mailman/listinfo/ale</a><br>&gt; &gt; &gt; See JOBS, ANNOUNCE and SCHOOLS lists at<br>&gt; &gt; &gt; <a href="http://mail.ale.org/mailman/listinfo">http://mail.ale.org/mailman/listinfo</a><br>&gt; &gt;<br>&gt; &gt;<br>&gt; &gt; --<br>&gt; &gt; Horkan Smith<br>&gt; &gt; 678-777-3263 cell, <a href="mailto:ale@horkan.net">ale@horkan.net</a><br>&gt; &gt; _______________________________________________<br>&gt; &gt; Ale mailing list<br>&gt; &gt; <a href="mailto:Ale@ale.org">Ale@ale.org</a><br>&gt; &gt; <a href="http://mail.ale.org/mailman/listinfo/ale">http://mail.ale.org/mailman/listinfo/ale</a><br>&gt; &gt; See JOBS, ANNOUNCE and SCHOOLS lists at<br>&gt; &gt; <a href="http://mail.ale.org/mailman/listinfo">http://mail.ale.org/mailman/listinfo</a><br>&gt;<br>&gt; --<br>&gt; Horkan Smith<br>&gt; 678-777-3263 cell, <a href="mailto:ale@horkan.net">ale@horkan.net</a><br>&gt; _______________________________________________<br>&gt; Ale mailing list<br>&gt; <a href="mailto:Ale@ale.org">Ale@ale.org</a><br>&gt; <a href="http://mail.ale.org/mailman/listinfo/ale">http://mail.ale.org/mailman/listinfo/ale</a><br>&gt; See JOBS, ANNOUNCE and SCHOOLS lists at<br>&gt; <a href="http://mail.ale.org/mailman/listinfo">http://mail.ale.org/mailman/listinfo</a><br><br><br><br><br>--<br>Terror PUP a.k.a<br>Chuck &quot;PUP&quot; Payne<br> <br>678 636 9678<br>-----------------------------------------<br>Discover it! Enjoy it! Share it! openSUSE Linux.<br>-----------------------------------------<br>openSUSE -- Terrorpup<br>openSUSE Ambassador/openSUSE Member<br>skype,twiiter,identica,friendfeed -- terrorpup<br>freenode(irc) --terrorpup/lupinstein<br>Register Linux Userid: 155363<br> <br>Have you tried SUSE Studio? Need to create a Live CD,  an app you want to package and distribute , or create your own linux distro. Give SUSE Studio a try.</div></div></div>