Кто как борется с DNS Amplification Attack?

0

2

Я тут уже поднимал тему (DDoSят BIND - нафига?)

Как оказалось это именно сабж.

Из того что сделал:

1. Отключил отдачу даже root hints при попытке сделать рекурсивный запрос (но это в общем по-сути от немного другой атаки)

2. Включил всякие плюшки типа

additional-from-auth no;
additional-from-cache no;
query-source address * port *;

3. Пропатчил бинд рейт-лимитом:

    rate-limit {
        responses-per-second 2;
        window 15;
        slip 2;

        exempt-clients { good_guys; };
    };

Стало полегче, нагрузка на бинд упала где-то в 2-3 раза, теперь он жрёт всего 30-50% проца :)

Что еще можно сделать? Смотрю в сторону рейт-лимитинга UDP пакетов в iptables, больше ничего придумать не могу да и гугль не подсказывает.

Ссылка

←	низкая скорость proftpd

Подмена адреса

→

Я бы iptables'ом резал. Или подумал, кто досит, и начистил репу :)

leave ★★★★★
(22.09.12 00:55:57 MSK)

Ответ на: комментарий от leave 22.09.12 00:55:57 MSK

ддосит иногда всякая левая школота, купившая за три копейки пачку зараженных машин, с целью профита само собой.

pekmop1024 ★★★★★
(22.09.12 01:34:40 MSK)

Ссылка

Ответ на: комментарий от leave 22.09.12 00:55:57 MSK

Да досят-то не меня, а кого-то, а мой сервак юзают как трамплин. При этом юзаются фейковые сурс-адреса в УДП пакетах, а тупые роутеры на пути от атакующего ко мне не проверяют reverse-path чтобы такие пакеты отсекать.

Кого резать иптаблесом-то? Там сто мегабит траффика идёт, сурс-адреса фейковые (по сути они - цель атаки).

blind_oracle ★★★★★
(22.09.12 10:01:47 MSK) автор топика

Ответ на: комментарий от blind_oracle 22.09.12 10:01:47 MSK

Ну я и имел в виду лимитировать иптаблицами. Вчера полдня разгребал творчество девелоперов на удаленном кластере с пингом 800мс и пакетлоссом 15%, мозг к ночи ушел в суспенд :)

leave ★★★★★
(22.09.12 13:46:29 MSK)

Ссылка

Ответ на: комментарий от blind_oracle 22.09.12 10:01:47 MSK

Вряд ли там совсем рандомные адреса. Я бы сделал рейтлимит и потом всех кто в рейтлимит не пролез - на роутере дропать. Скорее всего та штука которая ддосит проверяет жив ли твой сервер и если в итоге адреса попадут в дроплист, то и трафик лить на тебя перестанут. Ну и если процессора жалко - поставь NSD вместо BIND.

ventilator ★★★
(22.09.12 13:50:20 MSK)

Ответ на: комментарий от ventilator 22.09.12 13:50:20 MSK

Рейтлимит сейчас работает в самом бинде и дропает он прилично, но сила атаки не падает насколько я могу видеть, хотя нагрузка упала.

Это сервак в колокейшене, так что доступа к роутеру у меня нет, если и дропать то ipset-ом каким-нибудь.

А чтобы узнать кого резать, то надо толи логи бинда парсить (читая кого он рейтлимитом резал), а они растут по 10 мегабайт в секунду при таком долбеже :)

В общем идея понятна, каких-то универсальных схем нет для борьбы с DNS Reflection, как я и думал :(

ЗЫ: Процессора мне не жалко, просто хостеру всякие личности из нидерландов жалобы уже пишут, что мол я их атакую и чтобы я «harden your server against this type of attack». Вот я и пытаюсь понять как мне его харден...

blind_oracle ★★★★★
(22.09.12 17:14:05 MSK) автор топика

Ответ на: комментарий от blind_oracle 22.09.12 17:14:05 MSK

Mожно собрать netflow и собрав статистику по IP, заносить в дроплист, а дропать ipset-ом.

ventilator ★★★
(22.09.12 17:24:27 MSK)

Ссылка

отключите bind на сутки - для ваших доменов ничего страшного не случится, а для бот-нета станете неинтересны.

MKuznetsov ★★★★★
(23.09.12 01:58:01 MSK)

Ответ на: комментарий от MKuznetsov 23.09.12 01:58:01 MSK

Бот отключения даже не заметит, это же UDP с левым ипом.

level1 ★★
(23.09.12 09:54:00 MSK)

Ответ на: комментарий от level1 23.09.12 09:54:00 MSK

Я думаю там стоят какие-то проверки на активность ДНС, хотя бы периодически, т.к. спрашивают именно мой домен, а не какой-то левый. Я думаю надо попробовать, тем более на слейв-сервера вроде атак нет.

blind_oracle ★★★★★
(23.09.12 13:47:33 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	низкая скорость proftpd

Admin

Подмена адреса

→

Похожие темы