DDoS'ят DNS

0

0

Сегодня начали ddos'ит dns сервак работающий под bind'ом в результате чего перестали резолвится сайты. Как можно отбить атаку кроме средств iptables'а (атака идёт с разных ip)? Может можно гдето в конфиге задать максимальное число соединений с одного ip или ещё что нибудь вроде этого?

Ссылка

←	Сайт http://odnoklassniki.ru неработает через руотер

подскажите по runlevel

→

через esfq задать ограничение по скорости на dst ip ?

a_andry ★
(12.12.07 09:53:44 MSK)

Ссылка

чем досят-то ? запросы какие? надеюсь рекурсия включена только для своих клиентов?

anonymous
(12.12.07 11:14:43 MSK)

Ссылка

ИМХО, все решать надо просто. И iptables здесь подходит хорошо. Задать для всех внешних ip-адресов правило -m limit и ограничить кол-во запросов (пакетов udp на dst-порт 53) на уровне 5-10 в секунду.

Как уже сказали, рекурсию DNS на внешнии ip-выключить, и выключить трансфер зоны.

mky ★★★★★
(12.12.07 11:31:11 MSK)

Ответ на: комментарий от mky 12.12.07 11:31:11 MSK

>и ограничить кол-во запросов (пакетов udp на dst-порт 53) на уровне 5-10 в секунду

Это зачем? Ну и представь идет куча запросов с разных IP, полоса пропускания сужена. И Все сосут лапу, в том числе и нормальные dns запросы.

anonymous
(12.12.07 11:43:49 MSK)

Ответ на: комментарий от mky 12.12.07 11:31:11 MSK

> ИМХО, все решать надо просто.

Скорее всего запросы вообще с левых SRC IP адресов, а UDP это позволяет т.к. нету проверки, это не TCP. Так что можно весь инет ограничить, а толку ноль. Надо бороться другими способами, сообща с провом или крутить IP на сервере.

FreeBSD ★★★
(12.12.07 14:39:23 MSK)

Ответ на: комментарий от FreeBSD 12.12.07 14:39:23 MSK

Сообща с провом... +1

Бери у него днс, отдавай куда просят. А остальным отдыхать...

Я так год назад делал, когда подобная проблема была.

~~paranormal~~ ★★
(12.12.07 20:46:04 MSK)

Ответ на: комментарий от paranormal 12.12.07 20:46:04 MSK

Кстати, может это и я тебя ддосил... Ну не я, а виндовые тачки из одной моей халтуры. Это компьютерный клуб. Боты так злосно ддосили, что у остальных трафика не было. :-). Потом их зарубили...

~~paranormal~~ ★★
(12.12.07 20:48:39 MSK)

Ссылка

Ответ на: комментарий от anonymous 12.12.07 11:43:49 MSK

>Ну и представь идет куча запросов с разных IP, полоса пропускания сужена. И Все сосут лапу, в том числе и нормальные dns запросы.

Что значит все сосут лапу? 10 запросов в секунду из Инета обрабатываются, и bind работает, а не падает. Автор топика не пояснил как DDoS'ят, какие функции выполняет DNS-сервер.

Но термин DDoS подразумевает, что запросы идут с разных ip-адресов. ИМХО, в этом случае ограничивать кол-во соединений с одно ip-адреса бессмысленно.

mky ★★★★★
(13.12.07 08:26:14 MSK)

Ссылка

Ответ на: комментарий от FreeBSD 12.12.07 14:39:23 MSK

>Надо бороться другими способами, сообща с провом или крутить IP на сервере.

Поясните, как пров сможет отличить левый SRC IP адрес от нормального?

Что значит "крутить IP" --- постоянно менять ip-адрес сервера?

mky ★★★★★
(13.12.07 08:29:36 MSK)

Ответ на: комментарий от mky 13.12.07 08:29:36 MSK

> Поясните, как пров сможет отличить левый SRC IP адрес от нормального?

Не может, но пров может поставить у себя ДНС сервер на более широком канале и уже будет полегче. Досеры обычно отваливают через пару дней если видят что нету желаемого эффекта.

> Что значит "крутить IP" --- постоянно менять ip-адрес сервера?

Да. Можно сменить записи ДНС сервера (например был ns1.domain.tld, а сделать xx1.domain.tld и на другом IP), но если грамотно досят то это все тоже быстро просекается автоматом конечно-же.

Вообще UDP это зло, т.к. запросто забить канал под завязку просто пакетами на левые порты.

FreeBSD ★★★
(13.12.07 10:53:22 MSK)

Ответ на: комментарий от FreeBSD 13.12.07 10:53:22 MSK

поставь powerdns-recursor. Тебе же рекурсивный ресолвер нужен?

anonymous
(24.12.07 13:39:53 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Сайт http://odnoklassniki.ru неработает через руотер

Admin

подскажите по runlevel

→

Похожие темы