freeBSD руководство является Вашим другом для обновления...
FreeBSD на самом деле имеет некоторую очень хорошую документацию, так как это не разветвлено в огромное количество дистрибутивов как Linux; их сайт имеет некоторую действительно хорошую центральную документацию для вещей.
Эта часть говорит об устанавливании приложений...
Само руководство является великолепным местом для набирания скорость с использованием FreeBSD.
Это не может быть DoS против Вас - намного более вероятно, что Ваши машины используются, чтобы отправить пакеты кому-то еще.
Это называют "нападением усиления". Они отправляют Вам 25-байтовый запрос DNS - Вы передаете ~500 байтов обратно корневых подсказок.
Если это верно, исходные IP-адреса на самом деле имитируются, и они используют в своих интересах Ваш большой ответ для улучшения эффекта их DoS против тех имитировавших IP-адресов.
Отбрасывание пакетов в Вашем брандмауэре является, вероятно, лучшим, можно сделать в данный момент.
Однако действительное решение в долгосрочной перспективе состоит в том, чтобы настроить Ваш сервер DNS для возврата REFUSED
код ответа для любого запроса, для которого сервер не является авторитетным. Если бы Вы делаете это затем, Ваш сервер больше не был бы полезным инструментом для будущих нападений усиления на других людей.
Возможно, повторяя Alnitak, я не понимаю цели Ваших серверов DNS.
Они - общедоступные авторитетные серверы, предоставляющие информацию о Ваших доменах? Если так, никакая потребность ответить на любые другие запросы кроме тех они являются авторитетными для. 10 запросов в секунду не походят ни на что, что необходимо взволновать по поводу того, если Вы не отправляете ответы так или иначе.
Действительно ли это - внутреннее рекурсивное / кэширующийся сервер, предоставляя услуги для внутренних пользователей? Если так, должен быть a view
это может match-clients
(в синтаксисе BIND), и не получают запросы снаружи Вашей сети. Если у Вас уже есть это, и запросы прибывают из сегментов, которыми Вы управляете, ну, в общем, выслеживают те клиенты!
Вы не можете управлять поведением других. Даже если Вы фиксируете этот ответ в своем сервере, они могли бы решить идти дальше и варьироваться их нападение вместо того, "чтобы просто скучать". Так как Вы знаете, где они теперь, я думаю, блокируя их в Вашем цельном брандмауэре, вероятно, Ваша лучшая и самая безопасная опция.
Тем не менее Вы действительно также хотите исправить свой ответ сервера для защиты от будущих нападений или даже если текущие взломщики просто переключают дюйм/с. Но кто-то еще может помочь с той частью вопроса лучше, чем я.