发布于: Jan 12, 2024
从今天开始,您可以启用 Route 53 Resolver DNS Firewall,根据 DNS 查询格式问题部分中包含的查询类型(QTYPE)筛选 DNS 流量。
Route 53 Resolver DNS Firewall 是一项托管式服务,使客户能够阻止针对被确定为低信誉或疑似恶意的域进行的 DNS 查询,而且允许对可信域进行查询。 对未阻止查询的响应提供有关域的信息,例如与该域关联的 IP 地址和名称服务器。通过此次发布,您现在可以基于查询域名(QNAME)和 QTYPE 创建 DNS Firewall 规则,以筛选您的 Amazon Virtual Private Cloud(VPC)的出站 DNS 流量。 例如,QTYPE 规则现在为您提供了防止对任何 TXT 记录进行出站查询的选项。在响应查询时,TXT 记录可以包含比 A 或 AAAA 记录更多的数据,因此通常用于 DNS 隧道渗透。