This is exactly what we have done in the past to mitigate malware.  Just load <a href="http://somebaddomain.com">somebaddomain.com</a> with no A records or with a wildcard pointing to <a href="http://127.0.0.1">127.0.0.1</a>.<br>
-- <br>-Ben Croswell<br><br><br><div class="gmail_quote">On Thu, Dec 11, 2008 at 11:29 AM, Baird, Josh <span dir="ltr"><<a href="mailto:jbaird@follett.com">jbaird@follett.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">









<div link="blue" vlink="purple" lang="EN-US">

<div>

<p><span style="font-size: 9pt; color: rgb(31, 73, 125);">You could just create an authoritative zone for the domain on
your internal view to override recursion.  You can then create a wildcard 'A' record
or such to resolve to <a href="http://127.0.0.1" target="_blank">127.0.0.1</a>, etc.</span></p>

<p><span style="font-size: 9pt; color: rgb(31, 73, 125);"> </span></p>

<p><span style="font-size: 9pt; color: rgb(31, 73, 125);">Josh</span></p>

<p><span style="font-size: 9pt; color: rgb(31, 73, 125);"> </span></p>

<div>

<div style="border-style: solid none none; border-color: rgb(181, 196, 223) -moz-use-text-color -moz-use-text-color; border-width: 1pt medium medium; padding: 3pt 0in 0in;">

<p><b><span style="font-size: 10pt;">From:</span></b><span style="font-size: 10pt;">
<a href="mailto:bind-users-bounces@lists.isc.org" target="_blank">bind-users-bounces@lists.isc.org</a> [mailto:<a href="mailto:bind-users-bounces@lists.isc.org" target="_blank">bind-users-bounces@lists.isc.org</a>] <b>On
Behalf Of </b>Casartello, Thomas<br>
<b>Sent:</b> Thursday, December 11, 2008 10:25 AM<br>
<b>To:</b> '<a href="mailto:bind-users@isc.org" target="_blank">bind-users@isc.org</a>'<br>
<b>Cc:</b> Childs, Aaron<br>
<b>Subject:</b> Question about Records not authoritative for</span></p>

</div>

</div><div><div></div><div class="Wj3C7c">

<p> </p>

<p>I was wondering if Bind allows you to override certain
records for zones we are not authoritative for. Essentially we have a virus
that some users have been infected with, and we want to temporarily blockout
the domain name of the server that this virus connects to to send its
information out. (Basically by having this domain name point to <a href="http://127.0.0.1" target="_blank">127.0.0.1</a>) I
know it is a protocol violation, but I was just wondering if it is possible to
do this and what would be the best way of going about it. We essentially have
two servers with two views. One view serves our DNS zones to the outside world
(With recursion disabled) and the other performs recursive queries for our on
campus users. Obviously we would only be doing this on our internal view.</p>

<p> </p>

<p>Thomas E. Casartello, Jr.</p>

<p>Staff Assistant - Wireless Technician/Linux Administrator</p>

<p>Information Technology</p>

<p>Wilson 105A</p>

<p>Westfield State College</p>

<p>(413) 572-8245</p>

<p> </p>

<p>Red Hat Certified Technician (RHCT)</p>

<p> </p>

</div></div></div>

</div>


<br>_______________________________________________<br>
bind-users mailing list<br>
<a href="mailto:bind-users@lists.isc.org">bind-users@lists.isc.org</a><br>
<a href="https://lists.isc.org/mailman/listinfo/bind-users" target="_blank">https://lists.isc.org/mailman/listinfo/bind-users</a><br></blockquote></div><br><br clear="all"><br><br>