Защита от ддоса dns серверов (bind) - Форум успешных вебмастеров

Blanc · 16.09.2012, 04:54

Здравствуйте, необходима информация по защите от ддоса на днс серверы. Какие могут быть приняты меры во избежании данной атаки?
Гуглил долго и упорно, ничего стоящего не нашел...Может кто сталкивался или может помочь?
Сторонние dns серверы не предлагать.
Спасибо, да будет вам счастье!

primitive · 16.09.2012, 11:10

тож есть такая проблема, пока просто в Iptables ипы добавляю, на день помогает =-)
Буду благодарен тому, кто напишет правило для iptables, запросы вида :

PHP код:


			
Sep 16 09:13:56 CentOS-58-64-minimal named[5337]: client 69.162.110.103#53 (ripe.net): query (cache) 'ripe.net/ANY/IN' denied

Sep 16 09:13:56 CentOS-58-64-minimal named[5337]: client 69.162.110.103#53 (ripe.net): query (cache) 'ripe.net/ANY/IN' denied

Sep 16 09:13:56 CentOS-58-64-minimal named[5337]: client 46.166.160.154#53 (ripe.net): query (cache) 'ripe.net/ANY/IN' denied

Sep 16 09:13:56 CentOS-58-64-minimal named[5337]: client 46.166.160.154#53 (ripe.net): query (cache) 'ripe.net/ANY/IN' denied

Sep 16 09:13:57 CentOS-58-64-minimal named[5337]: client 69.162.110.103#53 (ripe.net): query (cache) 'ripe.net/ANY/IN' denied

Sep 16 09:13:57 CentOS-58-64-minimal last message repeated 4 times

Sep 16 09:13:57 CentOS-58-64-minimal named[5337]: client 46.166.160.154#53 (ripe.net): query (cache) 'ripe.net/ANY/IN' denied

JetD · 16.09.2012, 11:51

Все стандартно, как и для вебсерверов, для начала настраивают ipset + connlimit/recent и syncookies включают если айпишники спуфленные. Ну и icmp (пинги) отключить и пр. не помешает. Кстати бинд сменить на pdns во многих случаях есть смысл. Но при серьезных дидосах лучше специализированные сервисы с ip anycast юзать.

dool7 · 16.09.2012, 12:00

защита от школоты, уложат канал датацентра-хостинга и адъес.
перезжаем в ддос хостинг или кто может дать зашиту 10-30 Gbit канала.

wills · 16.09.2012, 13:29

может это cloudflare.com

Yes!Host · 18.09.2012, 01:27

Цитата:

Сообщение от Blanc

Здравствуйте, необходима информация по защите от ддоса на днс серверы. Какие могут быть приняты меры во избежании данной атаки?
Гуглил долго и упорно, ничего стоящего не нашел...Может кто сталкивался или может помочь?
Сторонние dns серверы не предлагать.
Спасибо, да будет вам счастье!

Если коротко, то пока фильтрует сервер - добавлять в фаервол, можно подсетками подсетками.
Использовать pdns, будет быстрее работать и больше успевать отдавать.
Если сервер ложится - писать апстриму, чтобы фильтровал у себя.
Если бьют именно по нс-ам - проще направить усилия ддосеров на сторону, какой-нибудь хороший днс-сервис с десятком-двумя нсов во всех концах мира, пусть там пупца надрывают. Так дешевле всего IMHO.

Emka · 21.09.2012, 18:17

Для своего сервера используйте правильно настроенный fail2ban, если только канала хватает.

Если нет дешевле всего юзать непотопляемые днс сервера таких сервисов как яндекс, рег.ру и прочие