Форум успешных вебмастеров - GoFuckBiz.com

  Форум успешных вебмастеров - GoFuckBiz.com > Бизнес-решения > Хостинг и железо
Дата
USD/RUB58.6120
BTC/USD0.0000
Хостинг и железо Обсуждаем вопросы хостинга и железа.

Закрытая тема
Опции темы Опции просмотра
Старый 16.09.2012, 04:54   #1
Blanc
Member
 
Аватар для Blanc
 
Регистрация: 06.11.2009
Сообщений: 402
Бабло: $96465
По умолчанию Защита от ддоса dns серверов (bind)

Здравствуйте, необходима информация по защите от ддоса на днс серверы. Какие могут быть приняты меры во избежании данной атаки?
Гуглил долго и упорно, ничего стоящего не нашел...Может кто сталкивался или может помочь?
Сторонние dns серверы не предлагать.
Спасибо, да будет вам счастье!
Blanc вне форума  
Старый 16.09.2012, 11:10   #2
primitive
Юниор
 
Регистрация: 04.08.2011
Сообщений: 14
Бабло: $4225
По умолчанию

тож есть такая проблема, пока просто в Iptables ипы добавляю, на день помогает =-)
Буду благодарен тому, кто напишет правило для iptables, запросы вида :


PHP код:
Sep 16 09:13:56 CentOS-58-64-minimal named[5337]: client 69.162.110.103#53 (ripe.net): query (cache) 'ripe.net/ANY/IN' denied
Sep 16 09:13:56 CentOS-58-64-minimal named[5337]: client 69.162.110.103#53 (ripe.net): query (cache) 'ripe.net/ANY/IN' denied
Sep 16 09:13:56 CentOS-58-64-minimal named[5337]: client 46.166.160.154#53 (ripe.net): query (cache) 'ripe.net/ANY/IN' denied
Sep 16 09:13:56 CentOS-58-64-minimal named[5337]: client 46.166.160.154#53 (ripe.net): query (cache) 'ripe.net/ANY/IN' denied
Sep 16 09:13:57 CentOS-58-64-minimal named[5337]: client 69.162.110.103#53 (ripe.net): query (cache) 'ripe.net/ANY/IN' denied
Sep 16 09:13:57 CentOS-58-64-minimal last message repeated 4 times
Sep 16 09
:13:57 CentOS-58-64-minimal named[5337]: client 46.166.160.154#53 (ripe.net): query (cache) 'ripe.net/ANY/IN' denied 
primitive вне форума  
Старый 16.09.2012, 11:51   #3
JetD
Domains from $0.47!
 
Регистрация: 21.07.2009
Сообщений: 1,118
Бабло: $132680
По умолчанию

Все стандартно, как и для вебсерверов, для начала настраивают ipset + connlimit/recent и syncookies включают если айпишники спуфленные. Ну и icmp (пинги) отключить и пр. не помешает. Кстати бинд сменить на pdns во многих случаях есть смысл. Но при серьезных дидосах лучше специализированные сервисы с ip anycast юзать.
JetD вне форума  
Старый 16.09.2012, 12:00   #4
dool7
Member
 
Регистрация: 07.12.2010
Адрес: Рiдна..
Сообщений: 57
Бабло: $14400
По умолчанию

защита от школоты, уложат канал датацентра-хостинга и адъес.
перезжаем в ддос хостинг или кто может дать зашиту 10-30 Gbit канала.
dool7 вне форума  
Старый 16.09.2012, 13:29   #5
wills
Member
 
Аватар для wills
 
Регистрация: 03.08.2008
Сообщений: 36
Бабло: $17805
По умолчанию

может это cloudflare.com
wills вне форума  
Старый 18.09.2012, 01:27   #6
Yes!Host
Размещаю проекты
 
Аватар для Yes!Host
 
Регистрация: 19.12.2008
Сообщений: 88
Бабло: $12690
Отправить сообщение для Yes!Host с помощью Skype™
По умолчанию

Цитата:
Сообщение от Blanc Посмотреть сообщение
Здравствуйте, необходима информация по защите от ддоса на днс серверы. Какие могут быть приняты меры во избежании данной атаки?
Гуглил долго и упорно, ничего стоящего не нашел...Может кто сталкивался или может помочь?
Сторонние dns серверы не предлагать.
Спасибо, да будет вам счастье!
Если коротко, то пока фильтрует сервер - добавлять в фаервол, можно подсетками подсетками.
Использовать pdns, будет быстрее работать и больше успевать отдавать.
Если сервер ложится - писать апстриму, чтобы фильтровал у себя.
Если бьют именно по нс-ам - проще направить усилия ддосеров на сторону, какой-нибудь хороший днс-сервис с десятком-двумя нсов во всех концах мира, пусть там пупца надрывают. Так дешевле всего IMHO.
__________________
Аренда выделенного сервера от 69евро VDS серверы от 7.95 евро виртуальный хостинг от 0.95евро
Yes!Host вне форума  
Старый 21.09.2012, 18:17   #7
Emka
Лолшто?
 
Регистрация: 28.07.2012
Адрес: Moscow newer slips
Сообщений: 26
Бабло: $4884
Отправить сообщение для Emka с помощью ICQ
По умолчанию

Для своего сервера используйте правильно настроенный fail2ban, если только канала хватает.

Если нет дешевле всего юзать непотопляемые днс сервера таких сервисов как яндекс, рег.ру и прочие
Emka вне форума