Странная DoS-атака DNS — Бесконечные Рекурсивные запросы для <очищают домен>
freeBSD руководство является Вашим другом для обновления...
FreeBSD на самом деле имеет некоторую очень хорошую документацию, так как это не разветвлено в огромное количество дистрибутивов как Linux; их сайт имеет некоторую действительно хорошую центральную документацию для вещей.
Эта часть говорит об устанавливании приложений...
Само руководство является великолепным местом для набирания скорость с использованием FreeBSD.
Это не может быть DoS против Вас - намного более вероятно, что Ваши машины используются, чтобы отправить пакеты кому-то еще.
Это называют "нападением усиления". Они отправляют Вам 25-байтовый запрос DNS - Вы передаете ~500 байтов обратно корневых подсказок.
Если это верно, исходные IP-адреса на самом деле имитируются, и они используют в своих интересах Ваш большой ответ для улучшения эффекта их DoS против тех имитировавших IP-адресов.
Отбрасывание пакетов в Вашем брандмауэре является, вероятно, лучшим, можно сделать в данный момент.
Однако действительное решение в долгосрочной перспективе состоит в том, чтобы настроить Ваш сервер DNS для возврата REFUSED код ответа для любого запроса, для которого сервер не является авторитетным. Если бы Вы делаете это затем, Ваш сервер больше не был бы полезным инструментом для будущих нападений усиления на других людей.
-
1Спасибо, я думаю, что это - объяснение, которое я искал. Я попытался настроить сервис W2K3 DNS для возврата, ОТКАЗАЛСЯ, но это, кажется, всегда отвечает списком корневых подсказок, независимо от того, какие настройки я использую. Возможно, это - то, почему они выбирают эту конкретную конструкцию запроса? – evenmoreconfused 25 July 2010 в 15:01
Возможно, повторяя Alnitak, я не понимаю цели Ваших серверов DNS.
Они - общедоступные авторитетные серверы, предоставляющие информацию о Ваших доменах? Если так, никакая потребность ответить на любые другие запросы кроме тех они являются авторитетными для. 10 запросов в секунду не походят ни на что, что необходимо взволновать по поводу того, если Вы не отправляете ответы так или иначе.
Действительно ли это - внутреннее рекурсивное / кэширующийся сервер, предоставляя услуги для внутренних пользователей? Если так, должен быть a view это может match-clients (в синтаксисе BIND), и не получают запросы снаружи Вашей сети. Если у Вас уже есть это, и запросы прибывают из сегментов, которыми Вы управляете, ну, в общем, выслеживают те клиенты!
-
1Это общедоступные серверы - я действительно ясно понимаю потребность в этих двух различных типах. Проблема состоит в том, что я, может казаться, не настраиваю серверы для не возврата корневых подсказок для этого конкретного. Я оказываюсь перед необходимостью делать больше экспериментов, чтобы видеть, могу ли я найти решение. Печально наш брандмауэр, кажется, не достаточно сложен для фильтрации только этого типа запроса (т.е. действительный запрос DNS от случайного для пустого домена). Это верно, что 10 запросов в секунду не являются концом света, но это является раздражающим и до объяснения Alnitak, я не понял точку. – evenmoreconfused 25 July 2010 в 15:14
-
2видит, можно ли отфильтровать длиной пакета вместо этого - ". NS" вопрос очень короток - реальные запросы к Вашему серверу DNS будут длиннее, потому что у них есть Ваше доменное имя в них. – Alnitak 25 July 2010 в 16:59
-
3Какое программное обеспечение сервера DNS Вы используете? - nm, я вижу, что Вы указали на W2K3 DNS в o.p. – medina 25 July 2010 в 17:58
Вы не можете управлять поведением других. Даже если Вы фиксируете этот ответ в своем сервере, они могли бы решить идти дальше и варьироваться их нападение вместо того, "чтобы просто скучать". Так как Вы знаете, где они теперь, я думаю, блокируя их в Вашем цельном брандмауэре, вероятно, Ваша лучшая и самая безопасная опция.
Тем не менее Вы действительно также хотите исправить свой ответ сервера для защиты от будущих нападений или даже если текущие взломщики просто переключают дюйм/с. Но кто-то еще может помочь с той частью вопроса лучше, чем я.