Контрмеры по сравнению с входящим нападением отражения DNS

Если отраженные пакеты отправляются на закрытый UDP-порт, то ядро на принимающей стороне будет выдавать сообщение об ошибке ICMP. Эта обработка довольно дешева, поэтому время обработки, необходимое для обработки UDP-пакета и отправки ICMP-сообщения об ошибке, скорее всего, будет наименьшим из ваших беспокойств.

В некоторых сценариях пропускная способность восходящего канала, потребляемая ICMP-ошибками, может быть реальной проблемой. В таких сценариях может потребоваться ограничение количества ICMP-ошибок.

Молчаливый сброс всех UDP-пакетов, не посылая при этом ICMP-ошибок, тем не менее, не рекомендуется. Ошибки ICMP - это единственный сигнал, который есть у владельцев задействованных DNS-серверов и который может сказать им, что их DNS-сервер вовлечен в рефлекторную атаку. Другими словами, молча сбрасывая пакеты, вы скрываете атаку от тех самых людей, которые могли бы смягчить ее.

Технически возможно спроектировать DNS сервер с автоматическим предотвращением отражающих атак. Однако такое смягчение должно опираться на сообщения об ошибках ICMP. Если такие методы смягчения атак получат широкое распространение, то вы сделаете себя более легкой мишенью для DDoS-атак, беззвучно сбрасывая весь трафик атак.

Если отраженные UDP-пакеты будут поступать на открытый UDP-порт, то обработка этих отраженных пакетов станет более дорогостоящей с точки зрения процессорного времени. В таких сценариях рекомендуется использовать правила iptables для REJECT пакетов, чей порт источника 53 или любой другой порт, используемый службами, которые обычно злоупотребляют отраженными атаками, и чей порт назначения является портом службы, которую вы используете. Я бы все равно не стал DROP-атаковать их, а использовал REJECT, чтобы выдать ICMP-ошибку, идентичную той, что видна на закрытом порту.