2.5 Admins 221: Two Firewalls
35:58 Share

为了一个半小时的埃普索姆，二二一。我相信我是吉姆。然后我是伊莲，你又是吉姆。你最近发现了现代充电技术的乐趣。

是的，没错。我还没有意识到我的所有充电设备都过时了。我认为我已经尽力获得比开箱即用的充电设备更好的充电设备，并且真正为我的家人和自己提供服务，因为我买了很多这些旧的USB，我知道四五口充电系统，总功率可能只有30瓦。

我对这一点感到满意，因为我实际上并没有关注USB供电和我的设备可以从中提取多少电力的世界。但在经历了一些非常糟糕的意外长时间延误和机场航站楼等事件后，我决定进行现代化改造。我首先做的就是买了一个功能更强大的电源银行，因为我希望我的设备能够获得更多的电力。

我还买了功率更大的充电器，当我这样做的时候，我并不完全确定会发生什么。但我发现，与其需要5到6个小时才能用一个可以提供100瓦USB供电的新充电器为我的平板电脑充电，我可以用50美元买一个充电器，并在20分钟内将我的平板电脑从完全没电的状态充满电，这真是太棒了。在家里，这可能并不那么重要，但在旅行时，这真是太棒了。

而且，你知道，也许你只需要在机场餐厅的良好座位上坐15到20分钟，或者像坐在柱子后面，那里有电源插座，足够长的时间来充电，然后继续前进。如果你有一个现代化的优质电源银行，你可以在大约20分钟内重新充电，为一个大型设备（比如一个高功率的大屏幕平板电脑或旗舰手机）充满电，你还可以获得更好的指标。我以前没有意识到我的充电器和电源银行可以做的事情。现在它们上面都有自己的显示屏，它们不仅会告诉我哪些端口处于活动状态，而且在我的最强大的充电器的情况下，它还会告诉我每个充电端口的电流和电压，这太棒了，因为我不仅仅是在说，好的，我的安卓设备上有一个小图标显示它正在充电。我实际上可以查看充电器，看看有多少电力流入该设备，这反过来会让我知道我是否可能存在技术故障，或者是一个坏电缆，我几乎无法充电，这让我感到心痛，我希望我早点知道该怎么做。

是的，我知道我也有类似的经历。我在日本买了一些不错的四口充电器，当时我的所有设备都是微型USB。所以我有一个小盒子，放在墙上，当我到其他国家时，它很适合我的插头适配器，并给我四个USB端口。

但总输出功率可能只有2.1安培，或者当时是那个数值。不，是USB C。所以，你知道，我大部分时间都把它放在我的旅行包里，大部分时间都插在酒店床头柜的插座上，晚上给我的手机充电等等。

但我没有注意到，如果我试图在白天把我的手机装进包里，因为我可能在一天结束和晚餐开始之间在房间里待20到30分钟，我的手机电量会耗尽。我想给它充电，我的手机会说“好的，我会尝试快速充电”，我会尝试第二次，然后说“不”，然后重置，再试一次，然后说“不”，好的，全部慢速充电。

这就像，好吧，我想我错过了机会。我正在快速充电，就像我能听到它正在提取该设备所能提供的最大功率一样。这有点像煤炭线。

我知道，就像他一样，这个设备就是我所能做的极限，知道我可以在需要的时候快速地为我的手机充电。在这些情况下，我真的很想得到更多东西，这就是吉姆的观点。为什么一个显示你正在提取多少瓦特的屏幕可以帮助你确保它正在快速充电，如果它没有，它会让你知道？

现在，现在它正在快速充电，我知道，好的，我要去冲个澡，准备吃晚饭。当我回来时，我的手机电量将达到80%，而不是我离开时只有5%。而不是慢速充电。

所有这些发现都是通过一个现代化的电源银行实现的。它改变了我使用电源银行的方式。我在2016年去参加美国开发者峰会时，在一次旅行中买了一个索尼电源银行。

它有效。不，我的意思是，我可以让我的手机或平板电脑保持运行状态，即使我连接到电源银行。但我基本上无法在连接电源银行时为手机或平板电脑充电。

电源银行只会让你的设备保持运行，只要它连接着。你基本上可以等一整夜，甚至无法为电源银行充电。它只是让你的设备保持运行状态。

支持带有USB C供电的新的电源银行。你可以知道，在单个线路中进行100瓦的充电。不，这不一样，伙计。你可以把你的电源银行放在你的包里，把你的设备插进去。你使用它几分钟，补充电池电量。我们只需要把电源银行从你的包里拿出来，放回你的包里，这可是一个巨大的改进。

这实际上也意味着我使用电源银行的次数比以前少，因为我以前总是这样：你使用设备的电池，直到它几乎耗尽，然后你只能依靠电源银行永远保持运行，直到你能找到一个地方并正确地充电。现在，我更有可能在离我10到15分钟内有电源的地方使用设备，然后将它们全部充满电。与其像以前那样永远处于生命支持状态，我回到了我开始的地方。

这是一个巨大的进步。我认为现在你想要复制这种成功，你需要摆脱使用USB A充电器。我可能和我们大多数人一样，很长时间以来一直使用USB A到USB C电缆。当我们为我们的USB C设备充电时，停止这样做，伙计。

买一个主要有USB C端口的电源银行。如果它上面有一些USB端口，也没关系。如果你还有旧设备，或者它全部是USB C，也没关系，因为你可以为你的USB A设备买一个转换器，如果你还有的话，这样就可以充电。

我买的是这次大升级的一部分，因为我从充电侧的USB A设备切换到了全USB C。我买了一堆USB C到USB C电缆。

它们的质量差异很大。我发现了一个非常棒的功能。我选的那些，每根6英尺长的电缆大约8到9美元。

你花得少一点，你买一大堆，比如你买一大堆，每根6英尺长的电缆8到9美元，除了电缆本身，它还能进行100瓦的充电，电缆的一侧实际上有一个LED灯。如果正在充电，则电缆的一半会亮起；如果正在快速充电，则整个电缆都会亮起。所以这只是一个非常简单的指示器，一切不仅是否正常工作，而且是否完全正常工作？我强烈推荐。

这是一个我想要为我的笔记本电脑的功能，我专门买了那些。但是，对于你推荐的那些安全连接器，我需要那些不会在卧室里断电的。

所以，艾伦，你要做的是买一包网络摄像头遮光贴纸。这些贴纸非常棒，可以遮挡其他东西。它们非常便宜。

它们是可抛弃的。它们可以一直贴着。你知道，当它们最终脱落时，好吧，没关系，你已经买了一包30张，每张1美元。所以你可以再贴一张。

艾伦提到了笔记本电脑，这让我开始关注整个现代充电的世界。因为我一直在使用一些手机充电器，我有一个安克充电器，它是一个五口USB A充电器，总功率约为30瓦。我一直在用它。

但是，当我了解到电源银行可以提供100瓦的供电时，我就可以为现在所有设备都是USB C的笔记本电脑充电了。

然后我发现，好的，我可以为这个电源银行充电，这真的就是一个全新的充电速度世界。我敢肯定，听这节播客的人中，有些人已经用了五年多了。为什么你们才刚刚发现？

对此，我的回答是，如果你已经用了五年多了，为什么不早点告诉我们？我同意你的观点，笔记本电脑的功能非常棒。如果你有一台使用USB C充电的笔记本电脑，你就不需要再携带笔记本电脑充电器了。一个充电器可以为你的手机、耳机、平板电脑和笔记本电脑充电，所有东西都从一个充电器上供电。

而且它有足够的功率来保持你的快乐。所以强烈推荐。现在，当你开始购买电源银行时，我会在这里补充一点，如果你正在寻找容量最大的电源银行，你会在亚马逊或其他网站上浏览，你会很快发现几乎没有一个超过100瓦时的。或者，有时你会看到以20000毫安小时表示，这实际上是完全一样的。几乎没有一个比这更大的原因是，航空公司规定，这是你可以在飞机上携带的最大锂离子电池。所以，当你最终在亚马逊或其他网站上找到一个提供150瓦时或30000毫安小时的电源银行时，如果你要坐飞机，就不要买它，因为如果TSA发现你的设备过大，他们不会让你登机。

好的，本集由1Password赞助。想象一下你的公司安全，就像大学校园一样。建筑物之间有漂亮的砖墙。这些是公司设备，它提供了深度和管理员工身份。

然后是人们实际使用捷径穿过草地，在从A点到B点的实际路径上，这些是不受管理的设备，包括我们的应用程序和非员工身份，例如承包商。大多数安全工具只适用于这些路径，但许多安全问题都发生在捷径上。1Password扩展访问管理是第一个将所有这些不受管理的设备、应用程序和身份置于你控制之下的安全解决方案。

它确保每个用户凭证都安全可靠，每个设备都已知且健康，每个应用程序都是可见的。1Password扩展访问管理解决了传统身份管理和访问管理无法解决的现代工作方式安全问题，现在已普遍提供给使用OTA、Microsoft Intune和Google Workspace的企业客户。

所以，支持本节目，并在1password.com/25a上查看。这是1password.com/25a。让我们做一些反馈，然后，你提到没有防火墙可以同时管理IPv4和IPv6流量，你需要两套不同的规则集。

这是不对的。防火墙可以做到这一点。如果你将表定义为网络，你可以定义同时包含IPv4和IPv6的规则。

如果你采用自己的方法，这非常容易，实际上没有太多重复。如果你定义一个策略为丢弃的链，我认为默认情况下它非常安全。但请不要做蠢事，丢弃ICMPv6。

如果某些服务无法使用某些ICMPv6代码，它们可能无法正常工作。如果你担心，可以阻止ICMPv6回显请求代码1到8，或者阅读有关所需ICMP代码的信息。端口在IPv6中实际上不是一个概念。

我反对其中几句话，比如那句话。

说IPv6中没有端口。我绝对反对那句话。

是的，但是你关于ICMPv6的观点，这正是詹姆斯所说的，你知道，防火墙不处理两者，因为你可以创建一条规则来控制所有这些消息，因为我认为ICMPv4和ICMPv6不是相同的协议，它们有完全不同的代码号。所以你可以有一条规则来执行你想要的操作。

你必须为基本版本创建单独的规则。虽然有些事情你可以说，哦，访问端口80，IPv4和IPv3，你可以创建一条规则来匹配IPv4和IPv6，但如果你尝试做防火墙中超出非常基本功能的事情，你最终需要两条规则来表达你想要表达的每个意图，因为它们是完全不同的协议，对吧？IPv6不仅仅是IPv4，只是IP地址更长。

它是一个非常不同的协议，有所有这些扩展和等等，这意味着相同的规则无法同时适用于两者，这并不简单。然后，关于端口的问题，我认为他们可能指的是另一件事，比如没有人试图扫描每个IPv6地址，但这并不意味着它需要更长的时间。但肯定有人正在扫描每个IPv6地址和端口，如果你正在针对一个IPv6地址，是的，你可以以相同的方式扫描所有端口，你可能需要花更少的时间来扫描IPv4的所有端口。

他们正在尝试扫描每个地址以查找特定服务，但这更多的是他们只是针对一些容易获取的目标。但是，你知道，如果你使用show down或一些服务器，你绝对可以找到所有I6地址。我在IT中打开421个，以及连接到IT时banner显示的内容。

可能还需要指出，在某种程度上，IPv6网络可能比IPv4网络更麻烦，因为其主题更大。因此，空间更大，你不太可能发现单个主机实际上正在转发大量服务给你，你知道，一个主题内的整个机器农场。这通常不是IPv6的工作方式。

通常，每台机器都直接公开可访问。这也意味着，如果你正在扫描IPv6空间，你经常会得到一些真正的收获，因为在IPv4中，你几乎总是发现21世纪的每台机器几乎肯定都位于路由器后面，并带有防火墙，默认情况下会丢弃所有内容。而在IPv6中，默认情况下，所有内容都是可访问的，而不仅仅是你特意通过路由器（管理整个主题的路由器）转发的内容。但是，网络中的每一台机器都直接具有公共地址，这意味着你作为网络管理员需要在每台机器上设置一个合理的防火墙，阻止所有外部用户不应该访问的内容。

你可以在Riveter上做到这一点，你只需要主动决定使用声明式防火墙，就像你在IPv4中那样。你之所以被迫使用声明式防火墙，是因为当你收到来自公共IPv4连接时，它无法猜测应该将连接发送到哪台机器。因此，它必须保持被动，并仅阻止连接，只允许从内部发起的响应。

或者，如果你有一个特定的转发部分，你可以应用相同的规则，但你必须选择这样做。这不是默认行为。

我们最近刚刚讨论过，你不能信任人类在安全方面做得比默认设置更好。21世纪IPv4的默认设置是所有内容都位于路由器后面，并使用网络地址转换和默认拒绝策略。而你必须做一些特殊的事情才能让IPv6不那么安全，因为IPv6默认情况下，每台机器都完全暴露在互联网上，就像90年代一样。你还记得在90年代工作过的网络，每台工作站都有一个公共IP地址吗？

我记得那些老虎队，其中一些，就像一个黑客和白帽子的游乐场，每台该死的机器都有不应该有的FTP服务器，以及色情内容，你几乎无法运行，你该如何修复它？你进去后做的第一件事就是收回所有公共IP地址，并将整个网络置于正确的默认策略下。任何请求都只允许你应该允许的内容。

是的，你应该对IPv6也这样做。此外，网络发送垃圾邮件。

是的，我确实。对我个人来说，这从来都不是问题。B，我绝对记得它。

是的，我理解这个概念，因为是的，每个人通过拨号上网基本上都会在他们的机器上拥有一个公共IP地址。你可以走到网络上并使用net send来向每台机器发送消息。

我认为我之所以从未遇到过这个问题，部分原因是我已经非常熟悉如何滥用这类工具，因为在我成为正式团队经理之前，我的第一份真正的大型工作是在海军，我在指挥部和船上工作，这些船上有很多老式计算机和哑终端。

在803b2中，我们有一个名为广播的功能，你可以使用它来实现类似于消息传递的功能。基本上，你可以向某人的屏幕发送消息。尽管使用ANT3b2系统和广播，你还可以选择在组织中的每台哑终端上发送和显示消息，这可能意味着成千上万台终端。

你知道吗？这是90年代初期，IT部门并没有锁定它。而我作为我当时的样子，我做的第一件事就是坐在前面，查看命令行输出并查找所有命令。我发现广播和测试功能没有锁定，天哪。

所以我用它来彻底惹恼人们，我会玩弄他们。我会说，“嘿，格雷，该回去工作了”，他会认为是IT部门在这样做。不，我从隔壁桌子上这么做的。

我记得有一天我这么做了，他准备冲过去，狠狠地揍IT部门。我不得不先让他冷静下来，否则他就要打起来了。我至少足够聪明，从不使用完整的广播功能，因为我可以和我的朋友们玩，并且不会因此受到惩罚。但我不会是那个让指挥部注意到广播功能没有锁定的人，让其他人来做这件事。

本说。我写信询问使用ZFS数据集作为Git存储库是否可行。显然，需要编写一些额外的代码，但总的来说，我认为如果它已经支持提交和快照的概念，人们可以挂载快照并开始在上面工作，然后推送和拉取。

这是否适用于ZFS数据，并且与我遇到的其他数据版本控制系统相比，它可能可以节省大量空间，通常将blob写入某个云服务？德国人正在发言。这看起来像一个合理的概念吗？

我不认为应该称之为提交，基本上和快照是一样的。但除此之外，是的，这相当合理。实际上，让Git直接使用ZFS并不难。

为了节省空间，并具有可靠性，以及使用你所说的所有功能，构建一个类似于Git的数据存储库。是的，你是否需要额外的工具，这取决于你的用户能够使用和期望ZFS的功能。它基本上已经在那里了。

是的，有些地方可能不如Git好，部分原因是，你知道，当你有一个差异时，你认为ZFS会发送差异，这很好。但是，差异会逐渐累积，ZFS的记录大小也会增加。

所以，即使你将其缩小到4k，这仍然会有一些副作用，你仍然需要修改Git如何处理差异压缩。你只会发送旧行和新行，而不是整个文件。但是，对于存储大型二进制blob（例如，一家公司制作视频游戏，并且有很多纹理、图像和大型文件）的情况，你可能需要使用类似于Git的东西来管理这些大型文件。我认为它有elf或其他东西来管理这些大型文件。

那么，这可能很有趣。就像我一样，我会使用ZFS的不同部分来处理你的分析，就像一个委员会，更像一个事务。虽然我理解你希望在提交之间有一个快照，以便你有一个稳定的点和一个分支，我会认为更像是一组克隆，因为分支是你可以修改的版本。

现在你有了两个不同的树。但总的来说，是的，这可能很有趣，并且对于大型图像文件来说，它可能会更好、更快，并且可能使用更少的带宽来处理远程操作。但是，如果尝试让多个用户写入，ZFS可能不会支持，但就像那样，如果你让用户在操作之前合并，那很难用二进制文件来实现。

我假设是源代码，对吧？你可以像你使用Git一样回滚你的补丁，如果有人已经将更新推送到分支，而你的本地副本是旧的，那么如果它是图形文件，并且你合并，那么其他人已经更改了文件，并且其他人已经检查了它。当你合并你的文件时，你可能会遇到问题。

但是，即使使用常规的版本控制系统，你也会有同样的问题。所以，这可以实现。我知道我以前尝试过类似的事情，当时仍然使用版本控制系统。我实际上检查了一个修订版，创建了一个快照，然后向前移动修订版。

所以我会拥有一个包含所有不同修订号的快照，我可以快速切换到特定的修订版，而不是让Git或SVN遍历树并修改每个文件以使其看起来像那个修订版，访问所有这些修订版或轻松发送整个修订版之间的差异。但我从未这样做过，因为我实际上没有太多用例，除了“嘿，这很酷，我可以构建它”。Rusha听起来像你想到的类似想法。

本集由Automox赞助。你是否准备好应对工作日中可能出现的任何问题？Automox会帮你解决。

请查看全新的Autonomous IT播客，收听各种IT专家讨论最新的周二补丁发布、缓解技巧和自定义自动化，以帮助解决CVE问题。现在在Spotify、Apple或你收听播客的任何地方收听Autonomous IT播客。让我们先做一些免费的咨询。只是快速。

感谢所有通过Patreon和订阅支持我们的听众。我们非常感谢。如果你想加入他们，可以访问twotofive.substack.com。记住，Patreon上的不同金额可以让你获得无广告的RSS提要，无论是Justice Show还是所有播客。如果你想向德国人提问或提供反馈，请发送电子邮件至twotofive.substack.com。

我拥有自己的域名，并使用一个流行的DNS提供商托管DNS记录，并启用了DNSSEC。我想迁移到我自己的权威DNS服务器。我以前只使用过几次。我想知道一些关键点和技巧，以便在公共演示中使用。例如，胶水记录、辅助服务器、DNS放大攻击速率限制专家、DNS缓存管理等。

在托管你自己的权威DNS服务器时，最大的问题是你需要不止一台服务器，但你也可以使用相同的DNS提供商，或者我建议使用像DNS Made Easy这样的服务来为你运行辅助服务器，如果你托管你自己的权威DNS服务器。我认为首先要决定的是你的主要权威DNS服务器是公开的还是隐藏的。

你构建DNS架构的一种方法是，你可以拥有一个权威DNS服务器，它定义了哪些记录实际上没有公开，没有列在whois中，等等，而是让所有辅助服务器从那里获取，这可以帮助保护免受服务攻击和其他问题，特别是如果你要在较小的基础设施上运行权威DNS服务器，而不是用于公共内容的较大服务器。胶水记录用于公开那些对不知道的人来说是未知的。通常，你定义哪些服务器包含域名DNS信息的标准方法是，你注册域名，输入DNS记录，这些记录基本上会进入whois，并被放入根TLD记录中。所以，大型数据库知道你的域名。

然后，这个名称服务器列表会告诉我们去哪里查找。但是，如果你要查找的名称服务器（例如，对于com域中的名称服务器）坚持说它就是com域中的名称服务器，那么你就会遇到一个循环问题，你必须查找DNS服务器的IP地址，直到你询问DNS服务器你正在查找的IP地址。

因此，胶水记录基本上是一个提示。你可以在注册数据库中包含一条记录，其中包含一条记录，说明com域中的一个名称服务器的IP地址。这会让你启动并进行第一次查询。因此，如果你的域名名称服务器位于你的域内，那么你需要一个胶水记录来启动。

我想说，最终，任何名称服务器都必须有胶水记录，它将被列在任何域名注册机构中，它通常会列在该名称服务器作为主机所在的域中。例如，如果mercenaryassessment.com由DNS服务器NS1和NS2托管，那么mercenaryassessment.com区域内将包含这两个名称服务器的胶水记录。

好吧，它应该在注册记录中，而不是区域内。

在注册记录中，而不是在你的本地bind运行的区域中。但是，即使你的名称服务器位于其他地方，例如，所有实际名称服务器都位于com域中，你将位于1和2.jerious-dnet中，因此你没有胶水记录来告诉你的DNS提供商，例如，如果你使用Namecheap作为注册商，如果你登录你的Namecheap帐户，你将看不到NS1和NS2的胶水记录。

只是在mercenaryassessment.com的介绍中。但是，如果你跳转到jaras.dh.thought.net的条目，你会看到胶水记录。因为最终，只要你使用名称服务器作为域的权威名称服务器，那么注册机构就必须为其提供胶水记录。是的。

这是因为DNS的工作原理，以及如何基本上防止依赖循环。我接下来问的是辅助服务器。所以，这只是一个DNS服务器。

它将拥有区域文件的权威副本，对吧？配置或nsd文件定义了哪些服务器位于此处，哪些服务器位于此处。

这些是记录。然后，所有辅助服务器都将连接到该主服务器并执行DNS命令，我们说，“给我这个域的所有记录”。

通常，您的私有命名服务器应该限制谁可以执行此操作。因此，您基本上拥有一个允许 IP 地址列表，这些地址被允许发出此请求。请提供数据库查询中的所有记录，并且周期性地执行此操作，其时间由 SOA（权威状态）记录控制。

IT 会告诉辅助服务器多久来检查一次，如果他们连续几天都无法检查，他们将删除记录并停止提供该信息，以便事情会中断。有人会修复 IT。但是，您确实希望确保仅限于辅助服务器。因此，无论这些辅助服务器是您自己决定运行的其他服务器，还是您打算使用廉价的 VPS 提供商来运行几个不同的名称服务，或者您将其外包给像 DNS Made Easy 这样的 DNS 托管公司，然后他们将托管辅助服务器。然后，这些辅助服务器的 IP 地址必须包含在您的 bind nsd 配置的允许列表中，以便只有这些人员才能下载您区域中的所有 DNS 记录。

出于几个原因，这一点很重要。一个原因是，对于较大的区域，尤其是在请求每个单个记录时，所使用的数量可能非常大，因为在请求一个区域传输时，您可能会获得数千条记录。另一个原因是通过限制访问来实现一定的安全性。

例如，假设您拥有 joe.com，并且您恰好有一个私有服务器，lucky-jpeg.joe.com。但是，您不希望任何知道该区域存在的人都可以请求每个主机名和子域，并找到您的 lucky-jpeg 服务器，从而限制谁可以执行区域传输。这为您提供了通过限制访问来实现的少量安全性，这使得攻击者更难以立即绘制出您的整个网络并寻找攻击目标。

接下来，我认为限制权威名称服务器的影响非常重要，因为您是名称的权威，必须回答有关 IT 的问题。一般来说，这些问题不会来自个人用户，而应来自 DNS 服务，无论是他们的管道供应商、ISP 名称服务器，还是像 Google 或 Cloudflare 这样的大型公共名称服务器。一般来说，这不是机器为了获得实时信息而做的事情。我不同意。

我不同意无法实施限制。我的意思是，您应该对您的域将要承受的流量水平有一个很好的估计。如果这是一个个人博客，您可以绝对限制服务器允许处理的请求数量。Google 可能无法做到这一点，因为他们需要能够处理来自世界各地的所有请求。

但是，如果您的博客有数千名观众，并且您的区域文件具有每天的生存时间，那么您可能实际上不会直接收到很多 DNS 请求，因为它的工作原理并非每次有人想要访问您的 blog.com 时，都会询问您的名称服务器如何到达那里。每次 ISP 的 DNS 服务器想要访问您的 blog.com 时，都会询问您的 DNS 服务器，然后在将其传递给该用户之前缓存结果。因此，在同一 ISP 中的下一位想要访问您的 blog.com 的用户不会询问您的 DNS 服务器，因为他们自己的 DNS 服务器仍然知道如何到达那里。在我看来，您绝对可以实施速率限制。

您只需要对预期量有一个相当好的估计。一种更好的方法是先尝试实施速率限制，观察几周，确定您的水平，并根据这些水平进行规划。

给自己留出缓冲空间。如果您计划做一些事情可能会突然大幅增加流量，例如某个大型公共事件，这会引起那些通常不访问您网站的人的巨大兴趣，那么您可能需要考虑放松限制，但实施合理的速率限制有助于防止您的服务器被用于 DNS 放大攻击。

尽管一般来说，速率限制的问题在于，如果实施不当，可能会导致二次拒绝服务攻击，其中坏人可以耗尽速率限制。现在，合法用户将无法再查找您的域。DNS 放大攻击对权威名称服务器的影响不如对递归名称服务器的影响大。

像 Piehole 或 Google 的公共 DNS 这样的服务旨在回答任何传入的查询，更容易受到 DNS 放大攻击，因为它们将收到来自其他地方的查询。而权威服务器只需要回答有关其控制的区域的信息。因此，这些记录通常不会很大。递归服务器的情况则不同，特别是如果您运行的服务器仅限于回答来自您网络的查询，那么有人可能会故意请求他们控制的非常大的域，并将其答案发送给错误的人，从而证明他们的攻击。

尽管如此，我仍然认为您可以绝对限制对权威服务器的访问。一种更简单的方法是，如果您知道服务器的位置，您可能也知道该服务器负责哪些域。一种更简单的方法是进行文本记录查询，这些域的可能性很大。您将获得一些相当大的记录，这些记录可能不像您在互联网上找到的一些特殊记录那样巨大。但是，您可以轻松地找到包含用于身份验证的文本记录，例如允许 Office 365 或 Google 管理域电子邮件或其他内容。

或者，甚至只是电子邮件的 SPF 记录。

正是如此。查询的响应时间仍然会比您通常期望的非标准 DNS 查询响应时间长很多倍。因此，它可能不是最完美的记录，但对于放大攻击来说，这确实有效。如今，大多数人使用 DNS 放大攻击的方式并非仅仅针对一个服务器执行一项操作。

他们构建了一个大型可攻击服务器池，并同时攻击所有服务器。因此，您的服务器要么是该列表的一部分，要么不是。我认为，因为您的服务器不是完美的，所以不值得认为没有攻击者会使用它。

这就是速率限制发挥作用的地方。如果您能够确保来自特定 IP 地址的请求受到速率限制，则意味着对该 IP 地址的响应也可以受到限制，即使这些请求是伪造的。

请记住，您还可以根据 IP 地址进行速率限制，这对于您来说可能不是必需的。如果您正在处理大规模的分布式拒绝服务攻击，不仅涉及用于应用程序的名称服务器数量，还涉及最初发送到目标以进行放大的数据包来源，那么这将非常有用。

如果您仅根据 IP 进行速率限制，这可能不足以保护您免受攻击。如果您是这些僵尸网络的一部分，它们使用您作为攻击的一部分，那么这将有效地阻止其中许多攻击，并且您甚至可以在防火墙级别直接实施此操作。这并不一定需要在 bind 本身中实现。从单个 IP 地址向您的权威名称服务器发送每秒 50 个查询的可能性非常低，对吧？

那么，我们现在就离开这里吧。请记住，在 2.5 管理员中，如果您有任何问题或反馈，您可以通过以下方式找到我：

您可以在以下网站找到我：

我在 alanjude.com。

我们下周见。