Ahoj,
uz jsem reseni nasel. Je treba pouzit netgraph.
http://citrin.ru/freebsd:ng_ipfw_ng_bpf
Navod je v rustine. Aspon trochu potrenuji ;-)
Ivo Hazmuk
On Thu, 13 Sep 2012, Ivo Hazmuk wrote:
Ahoj,
urcite jste zaregistrovali, ze zhruba od poloviny cervna probiha utok proti
DNS, kdy na autoritativni jmenne servery prichazi obrovska kvanta dotazu typy
ANY s podvrzenymi zdrojovymi IP adresami. Dobrymi cili jsou zony s DNSSECem
ci TXT RR. Vysledkem je zesilena odpoved.
Zkousel jsem radu reseni, ale ani jedno neni uplne idealni. 1) Blokovani
veskereho DNS provozu ze zdrojovych IP adres, ale ty jsou podvrzene
2) Bind 9.9.1-P2 s RRL zaplatou - to trochu pomuze, ale hodi se spis na jine
situace.
3) Omezit pasmo pro DNS - to byl muj prvni, zoufaly pokus. Nepouzitelne.
S kolegy vidime zasadni problem v dotazu ANY. Pokud by se podarilo tento typ
dotazu zakazat, neodpovidat na nej, bude tento utok neuciny.
Najit v Bindu misto, kde by se tento dotaz filtroval neni jednoduche. A
opravovat to s kazdou novou verzi je nepouzitelne.
Co tak pouzit firewall. V IPTABLES to mozne je:
-p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|'
-m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
Vice na URL: https://isc.sans.edu/diary.html?storyid=13261
Mate nejaky napad, jak to udelat ve FreeBSD 8. V IPFW jsem nenasel nic, co by
podobnou konstrukci umoznilo.
Diky
Ivo Hazmuk
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
