有什么办法能够防止 DNS 放大攻击

2019-02-28 01:11:00 +08:00

emeab

本来想公开自己自建的 DNS 服务器但是害怕别人用来 DNS 放大攻击.不知道有没有什么办法能够防御住顺道问下 DOT 的证书是怎么搞到的

5360 次点击

所在节点

DNS

10 条回复

mingl0280

2019-02-28 01:39:25 +08:00

内网 dns 怎么会被用来放大攻击？内外网界的防火墙上外部进来的 dns 包都拦掉了你放大什么？

Love4Taylor

2019-02-28 02:01:51 +08:00

过滤掉 ANY?
你网站证书怎么搞的 DoT 证书就怎么搞.

Laynooor

2019-02-28 08:47:29 +08:00

@mingl0280 楼主说”公开”

限制每个 IP 的请求次数和频率吧

jimzhong

2019-02-28 09:32:50 +08:00

DNS Cookie 或许对 LZ 有帮助
https://tools.ietf.org/html/rfc7873

skylancer

2019-02-28 09:57:02 +08:00

@mingl0280 回帖前先看清楚帖是不是更好

cat9life

2019-02-28 10:09:44 +08:00

限制请求频率相对简单易执行

mingl0280

2019-02-28 12:19:17 +08:00

@Laynooor
@skylancer
我脑子进水了哈哈哈

johnjiang85

2019-03-01 00:05:18 +08:00

RRL(response rate limit) -- 目前业界对通过递归反射攻击的常用方案
请求限速
IP 重传
CNAME 防护
源端口黑名单
限制 any 查询等

emeab

2019-03-01 00:38:11 +08:00

感觉都比较麻烦还是自用闷声发大财算了.

xzsljc

2020-03-10 15:24:13 +08:00

先设定不受限制的网段

iptables -v -A INPUT -t filter -s 11.11.11.0/24 -j ACCEPT
加载个模块
iptables -v -A INPUT -p udp --dport 53 -m recent --set --name dnsanyquery
1 秒内 10 次就 kill 掉（手工试了下，除了恶意攻击，还是很难达到这个手速的...）
iptables -v -A INPUT -p udp --dport 53 -m recent --name dnsanyquery --rcheck --seconds 1 --hitcount 10 -j DROP

也可以用 tcpdump 抓包设定 query 规则

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/539451

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.