<div dir="ltr">Hi Tony,<div><br></div><div>Thanks for the revert however, in my scenario I have Windows AD server is being used as a Authoritative DNS for exmaple.local which has forwarding set to BIND acting as a RPZ and wanting to see if we can conceal this vulnerability on BIND.</div><div><br></div><div>I think since BIND is not a NS for example domain even if I enable this protection on BIND not sure if that would take effect?</div><div><br></div><div>Thanks and Regards,</div><div>Blason R</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jan 28, 2019 at 4:05 PM Tony Finch <<a href="mailto:dot@dotat.at">dot@dotat.at</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Blason R <<a href="mailto:blason16@gmail.com" target="_blank">blason16@gmail.com</a>> wrote:<br>
><br>
> Can someone guide me on prevention and possible configuration in BIND from<br>
> DNS Re-bind attack?<br>
<br>
Have a look for "rebinding" in<br>
<a href="https://ftp.isc.org/isc/bind9/9.12.0/doc/arm/Bv9ARM.ch06.html" rel="noreferrer" target="_blank">https://ftp.isc.org/isc/bind9/9.12.0/doc/arm/Bv9ARM.ch06.html</a><br>
<br>
There is evidence that very few people are using `deny-answer-aliases`<br>
<a href="https://kb.isc.org/docs/aa-01639" rel="noreferrer" target="_blank">https://kb.isc.org/docs/aa-01639</a> though it's unclear to me whether that is<br>
also true for `deny-answer-addresses`.<br>
<br>
Tony.<br>
-- <br>
f.anthony.n.finch  <<a href="mailto:dot@dotat.at" target="_blank">dot@dotat.at</a>>  <a href="http://dotat.at/" rel="noreferrer" target="_blank">http://dotat.at/</a><br>
Thames, Dover: Northwest 6 to gale 8, decreasing 4 or 5, backing southwest<br>
later. Moderate or rough becoming slight or moderate. Showers. Good.<br>
</blockquote></div>