Ako zabranovat dns ddos resolvingu
Z housingu mi opat raz prisiel pozdrav o zneuzivani serverov na ddos attack. Bohuzial nemozem zrusit resolving, pretoze oba servre su nska pre moje domeny v hostingu, takze ma nenapada co by som mohol spravit.
Ide totizto o to, ze podla mna mozem spravit toto;
- urcit IP adres, z ktorych budem robit resolving...to je blbost
- urcit domeny, z ktorych budem robit resolving...to je blbost
- nastavit rate limit...co mam, ale je to bohuzial neucinne.
###dns flood
# Requests per second
RQS="15"
# Requests per 7 seconds
RQH="35"
iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --set --name DNSQF --rsource
iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --update --seconds 1 --hitcount ${RQS} --name DNSQF --rsource -j DROP
iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --set --name DNSHF --rsource
iptables -A INPUT -p udp --dport 53 -m state --state NEW -m recent --update --seconds 7 --hitcount ${RQH} --name DNSHF --rsource -j DROPPriklad floodu.
a co zapamatovat si klienty, kteří provedli hodně dotazů a dál jim neodpovídat? ale nechtěj po mně, jak to naprogramovat.
OMG, vždyť to má fleg přímo v dotazu. Ale to přece není řešení..
hm.. teď jsem, přiznám se, nepochopil.
Máš DNS server, který je autoritativní a zároveň funguje jako caching server?
Jaký je potom problém nastavit Bind tak, aby autoritativní část odpovídala všem a caching jen hostitelům, které povolíš? (předpokládám, že máš přiděleny nějajé rozsahy/bloky IP adres, pro které chceš tuto funkcionalitu použít..)
edit: viz allow-query, allow-transfer a allow-update direktivy. Query povolíš u auth. zón všem (any), u cachingu jen patřičným hostitelům nebo subnetům. Update (pokud máš někde sekundár) pak jen primárnímu DNS. Transfer zakážeš všem, vyjma primárním zónám (a vyjmenuješ IP sekundárů).