Ochrana DNS Bind

[kdavid]

ZDravim,

potreboval by som ochranit DNS server beziaci na Ubuntu server 12.04. Jedna sa o BIND.
Mam nahodene rozhranie webmin cez co to nastavujem. DNSko je rekurzivne a cachovacie na prekladanie adries pre dost velku siet.

Fungovat to fungovalo donedavna, ale naposledy som tam mal 80 Mbit DDOS utok. Utok smeroval na port 53 UDP.

Neviete niekto poradit ako najlepsie ochranit dns server ktory sluzi ako pre domenove zaznami tak aj ako DNS resolver.

Velmi pekne dakujem za radu.

[Myghael]

Firewall a zahazovat všechno z vnějšku, pokud to není potřeba. Nebo třeba na den banovat IP která pošle více než XY požadavků za hodinu.

[kdavid]

Firewall a zahazovat všechno z vnějšku, pokud to není potřeba. Nebo třeba na den banovat IP která pošle více než XY požadavků za hodinu.

Zakazovan z vonku nemozem podla mna. Minimalne potrebujem mat otvoreny port 53 TCP/UDP na zone transfer pokial dobre viem.

[ntz_reloaded]

http://www.linuxquestions.org/questions/linux-server-73/iptables-rate-limit-to-block-ddos-931931/

^^ prvni hit v guglu pri dotazu: iptables 53 port drop ddos .. a urcite se pujde zeptat lepe

[kdavid]

http://www.linuxquestions.org/questions/linux-server-73/iptables-rate-limit-to-block-ddos-931931/

^^ prvni hit v guglu pri dotazu: iptables 53 port drop ddos .. a urcite se pujde zeptat lepe

Vdaka,

tak som postavil pravidlo na zaklade merania poctu paketov od zdrojovej ip na cielovy port UDP 53. Napriklad kto prekroci 3500 paketov za 1 minutu sa zaradi na 24hodin na blacklist .

[kdavid]

Takze vysledok je taky ze mi do rana prestalo fungovat delegovanie domen a v blackliste som mal cca 18 tis IP adries.

[Petr Merlin Vaněček]

Kolik je domén v tom poolu? Jakou mají TTL jednotlivé záznamy?

[kdavid]

Mam tam kolem 60 domen. TTL je vsechno default BIND.

[kdavid]

Mam tam kolem 60 domen. TTL je vsechno default BIND.

Dodavam ze som mal nastavene zadanie DOS utocnikov tak, ze jedna IP nemohla mat viac ako 5000 paketov / 1 minuta