我无法弄清楚如何在BIND上阻止任何dns请求以降低DNS放大攻击的变化.我在网上看到了指南,但大多数都是通过iptables或bind执行速率限制.
任何提示或建议?
解决方法
如果您有BIND 9.9或更高版本并且您的安装在构建期间启用了响应率限制,那么您可以设置如下所示的速率限制:
options {
...
rate-limit {
responses-per-second 10;
log-only yes;
};
};
如果您在查看query.log时对结果感到满意,则删除仅限日志的行并观察它是否生效.如果我没有弄错,则默认值为5,并且不建议低于该数字.另外请监视您的丢弃率,因为您可能希望在托管更多区域的名称服务器上对其进行调整.
是的,你可以做iptables,但这是不明智的,因为在大多数情况下,IP过滤器在你的名字服务器之前遇到麻烦.此外,它无法根据请求进行区分,只能根据数据包的数量和源IP进行区分.这意味着您将减少大量合法流量.
