Category: DNS

This post turns my containerized BIND 9.21 deployment notes into a step-by-step guide. To protect the real environment, all domains are anonymized as domainA and domainB, and public IPs are shown as examples (e.g., 203.0.113.0/24). Target Architecture Recommended Directory Layout Key points: put all K* key files + .state in /var/cache/bind/keys; keep managed-keys.bind* and *.mkeys*…

本文將我在容器內部署 BIND 9.21 的完整過程整理成一篇教學。為保護實際環境，所有網域以 domainA、domainB 代稱，IP 也以示例地址（如 203.0.113.0/24）呈現。 目標架構 目錄佈局（建議） 重點：K* 金鑰與 .state 一律放 /var/cache/bind/keys；managed-keys.bind*、*.mkeys* 放 /var/cache/bind 根目錄；external 區檔放 /var/cache/bind/zones/ext。 關鍵設定片段 1) options：工作目錄、金鑰目錄、僅 IPv4 監聽 2) RNDC 控制通道（只綁 127.0.0.1） 如果容器外要下 rndc，要能讀到同一把 rndc.key，或在容器內執行。 3) internal view：內網權威 + 遞迴（不做 DNSSEC 驗證） 4) external view：對外權威（簽名），只對本機開遞迴＋驗證供 KASP 使用 TSIG：請用 tsig-keygen -a hmac-sha256 xfr-key > /etc/bind/keys/xfr-key.key 產生，主從兩邊都 include，從伺服器 zone {…

Author: Rico Wu ｜ Topic: DNS Security & Infrastructure 1. Why Create a Sinkhole Zone? When reviewing your DNS logs, you might often see queries like: Some of these come from automated scanners or bots, and others are legitimate DNSSEC lookups.However, domains like wpad (Web Proxy Auto Discovery) can sometimes be abused for malicious purposes…

作者：Rico Wu ｜ 主題：DNS 防護實務 一、為什麼要建立 Sinkhole Zone？ 在日常 DNS 維運中，我們經常會看到一些可疑查詢： 這些請求有些來自網際網路掃描，有些則是自動化偵測或 Bot 行為。其中 wpad（Web Proxy Auto Discovery）甚至可能被用於安全攻擊（WPAD 攻擊）。 若我們希望： 就可以透過「共用 Sinkhole Zone」的方式實作。 二、共用 Sinkhole Zone 設定範例 1️⃣ 建立共用區檔 檔名： 內容： 2️⃣ 在 named.conf 中引用 多個 zone 可共用同一個檔案： 這樣不論你要沉沒幾個子域，都可共用一份檔案，維護最簡單。 三、DNSSEC 的關聯與注意事項 DNSSEC 採用「信任鏈」的驗證機制。每一層的關係是： 這條鏈由 DS record（Delegation Signer）串起。 ✅ 若主域有 DNSSEC（如 nuface.tw） 你在 ISP / Registry…