Udo*_*o G 14 domain-name-system bind ddos
我有一个可公开访问的名称服务器,因为它是几个域的权威名称服务器。
目前,服务器充斥着ANY对 isc.org、ripe.net 和类似(这是一种已知的分布式 DoS 攻击)的伪造类型请求。
服务器运行 BIND 并allow-recursion设置为我的 LAN,以便拒绝这些请求。在这种情况下,服务器仅使用引用根服务器的authority和additional部分进行响应。
我可以配置 BIND 使其完全忽略这些请求,而根本不发送响应吗?
面对同样的问题,我选择忽略所有递归请求。当所有解析器想要将我的服务器用作权威服务器时,它们都会发送非递归查询。在我自己的案例中,只有配置错误的客户端和攻击者才会使用递归查询。
不幸的是,我还没有找到让 BIND 做到这一点的方法,但如果 iptables 对你来说足够好,我使用
iptables -t raw -I PREROUTING -i eth0 -p udp --destination-port 53 \
-m string --algo kmp --from 30 \
--hex-string "|01000001000000000000|" -j DROP
您是否尝试过阻止字符串 isc.org 或阻止其十六进制字符串?
这对我有用:
iptables -A 输入 -p udp -m 字符串 --hex 字符串“|03697363036f726700|” --algo bm -j 删除