Про уродів і людей як захиститися від UDP флуду, Блог веселого програміста

Я сподіваюся тут зібрати все, що мені здається цікавим. Можливо, це сподобається Вам.

уродів

Головне меню

Навігація за записами

Про уродів і людей: як захиститися від UDP флуду.

Найпростіший, але не найправильніший спосіб боротьби з UDP флудом — обмежити кількість пакетів UDP, що приймаються або отруюються, в секунду за допомогою iptables, приблизно так:

Цей метод працює надійно, але досить грубо. Якщо ми говоримо про флуд DNS-сервера, то цей спосіб обмежить і легітимні запити до моїх доменів, і флуд на ліві доменні імена. А правильний спосіб боротьби із флудом DNS виглядає так.

1. Оновити bind до версії 9.9.3 (або 9.9.2 з патчем для rate-limit)

2. Заборонити рекурсію для всіх доменів та обмежити кількість відповідей за секунду для «лівих» доменів і для своїх:

2. Для кожного домену до зони прописати allow-query < any; >:

Тепер обмеження стало більш інтелектуальним, на правомірні запити про мої домени bind буде надсилати не більше 10 відповідей на секунду; а на запити про ліві домени - максимум 1 запит на секунду. З цифрами в налаштуваннях можна погратися, і досягти бажаного результату.

Логи bind у разі атаки виглядатимуть приблизно так:

Тобто. якщо флудер нахабнів і надсилає запити занадто часто, сервер на якийсь час обмежує кількість відповідей на айпішк, з якого прийшов запит.