V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
emeab
V2EX  ›  DNS

有什么办法能够防止 DNS 放大攻击

  •  
  •   emeab · 2019-02-28 01:11:00 +08:00 · 5313 次点击
    这是一个创建于 1856 天前的主题,其中的信息可能已经有所发展或是发生改变。

    本来想公开自己自建的 DNS 服务器 但是害怕别人用来 DNS 放大攻击.不知道有没有什么办法能够防御住 顺道问下 DOT 的证书是怎么搞到的

    10 条回复    2020-03-10 15:24:13 +08:00
    mingl0280
        1
    mingl0280  
       2019-02-28 01:39:25 +08:00
    内网 dns 怎么会被用来放大攻击?内外网界的防火墙上外部进来的 dns 包都拦掉了你放大什么?
    Love4Taylor
        2
    Love4Taylor  
       2019-02-28 02:01:51 +08:00 via Android
    过滤掉 ANY?
    你网站证书怎么搞的 DoT 证书就怎么搞.
    Laynooor
        3
    Laynooor  
       2019-02-28 08:47:29 +08:00 via Android
    @mingl0280 楼主说”公开”

    限制每个 IP 的请求次数和频率吧
    jimzhong
        4
    jimzhong  
       2019-02-28 09:32:50 +08:00
    DNS Cookie 或许对 LZ 有帮助
    https://tools.ietf.org/html/rfc7873
    skylancer
        5
    skylancer  
       2019-02-28 09:57:02 +08:00 via iPhone
    @mingl0280 回帖前先看清楚帖是不是更好
    cat9life
        6
    cat9life  
       2019-02-28 10:09:44 +08:00
    限制请求频率相对简单易执行
    mingl0280
        7
    mingl0280  
       2019-02-28 12:19:17 +08:00
    @Laynooor
    @skylancer
    我脑子进水了哈哈哈
    johnjiang85
        8
    johnjiang85  
       2019-03-01 00:05:18 +08:00
    RRL(response rate limit) -- 目前业界对通过递归反射攻击的常用方案
    请求限速
    IP 重传
    CNAME 防护
    源端口黑名单
    限制 any 查询等
    emeab
        9
    emeab  
    OP
       2019-03-01 00:38:11 +08:00
    感觉都比较麻烦 还是自用闷声发大财算了.
    xzsljc
        10
    xzsljc  
       2020-03-10 15:24:13 +08:00
    先设定不受限制的网段

    iptables -v -A INPUT -t filter -s 11.11.11.0/24 -j ACCEPT
    加载个模块
    iptables -v -A INPUT -p udp --dport 53 -m recent --set --name dnsanyquery
    1 秒内 10 次就 kill 掉(手工试了下,除了恶意攻击,还是很难达到这个手速的...)
    iptables -v -A INPUT -p udp --dport 53 -m recent --name dnsanyquery --rcheck --seconds 1 --hitcount 10 -j DROP

    也可以用 tcpdump 抓包设定 query 规则
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2850 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 11:44 · PVG 19:44 · LAX 04:44 · JFK 07:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.