Jak odpowiadać na rekursywne ataki DNS, DoS lub DDoS?
Poniżej kilka przykładów konfiguracji iptables:
Objawem ataków jest wpis w logach Binda podobny do poniższego i powtarzający się nawet kilka razy na sekundę z różnych adresów IP lub cały czas z tego samego.
query (cache) 'isc.org/ANY/IN'
Na początku przed innymi regułami dotyczącymi DNS’a należy dodać poniższe wpisy i zrestartować firewalla:
PUBLIC_IF=eth0 //interfejs sieciowy publiczny IPTABLES=/sbin/iptables //ścieżka do iptables $IPTABLES -A INPUT -i $PUBLIC_IF -p udp --dport 53 -m recent --set $IPTABLES -A INPUT -i $PUBLIC_IF -p udp --dport 53 -m recent --update --seconds 30 --hitcount 10 -j DROP
lub inny przykład:
PUBLIC_IF=eth0 //interfejs sieciowy publiczny IPTABLES=/sbin/iptables //ścieżka do iptables $IPTABLES -A INPUT -i $PUBLIC_IF -p udp --dport 53 -m recent --update --seconds 30 -j DROP $IPTABLES -A INPUT -i $PUBLIC_IF -p udp --dport 53 -m recent --update --seconds 30 --hitcount 10 --rttl --set -j DROP
poniższe też może być ciekawe:
PUBLIC_IF=eth0 //interfejs sieciowy publiczny IPTABLES=/sbin/iptables //ścieżka do iptables $IPTABLES -A INPUT -i $PUBLIC_IF -d $MAIN_IP -p udp --dport 53 -m state --state ESTABLISHED,RELATED -j DROP