Comments 3
Наиболее эффективным средством борьбы с DNSAmp является следование рекомендациям BCP38.
В сделанном вами есть пара серьезных недостатков:
1) Вы не проверяете весь пакет целиком. Из-за этого велика вероятность false positive, когда не замышлявший ничего клиент переходит на tcp только потому что шлет много запросов (возможно для вас это не критично);
2) Снижение bps — это хорошо, однако pps тоже играет роль, т.е. резолвер может также участвовать в DDOS'е, помогая атакующим не мегабитами, а пакетами.
Рекомендую глянуть как сделан RRL в BIND'е. Там, во-первых, рассматривается запрос целиком; во-вторых, по умолчанию при превышении трешхолда часть запросов возвращается с TC битом, остальные — дропаются.
В сделанном вами есть пара серьезных недостатков:
1) Вы не проверяете весь пакет целиком. Из-за этого велика вероятность false positive, когда не замышлявший ничего клиент переходит на tcp только потому что шлет много запросов (возможно для вас это не критично);
2) Снижение bps — это хорошо, однако pps тоже играет роль, т.е. резолвер может также участвовать в DDOS'е, помогая атакующим не мегабитами, а пакетами.
Рекомендую глянуть как сделан RRL в BIND'е. Там, во-первых, рассматривается запрос целиком; во-вторых, по умолчанию при превышении трешхолда часть запросов возвращается с TC битом, остальные — дропаются.
Мне кажется, что подобный модуль был бы полезен для транзитного трафика.
Sign up to leave a comment.
Предотвращаем участие в dns amplification attack или опыт написания ядерного кода