IPFW a zakaz DNS dotazu typu ANY
Ivo Hazmuk
ivo at vutbr.cz
Thu Sep 13 23:22:52 CEST 2012
Ahoj,
uz jsem reseni nasel. Je treba pouzit netgraph.
http://citrin.ru/freebsd:ng_ipfw_ng_bpf
Navod je v rustine. Aspon trochu potrenuji ;-)
Ivo Hazmuk
On Thu, 13 Sep 2012, Ivo Hazmuk wrote:
> Ahoj,
>
> urcite jste zaregistrovali, ze zhruba od poloviny cervna probiha utok proti
> DNS, kdy na autoritativni jmenne servery prichazi obrovska kvanta dotazu typy
> ANY s podvrzenymi zdrojovymi IP adresami. Dobrymi cili jsou zony s DNSSECem
> ci TXT RR. Vysledkem je zesilena odpoved.
>
> Zkousel jsem radu reseni, ale ani jedno neni uplne idealni. 1) Blokovani
> veskereho DNS provozu ze zdrojovych IP adres, ale ty jsou podvrzene
> 2) Bind 9.9.1-P2 s RRL zaplatou - to trochu pomuze, ale hodi se spis na jine
> situace.
> 3) Omezit pasmo pro DNS - to byl muj prvni, zoufaly pokus. Nepouzitelne.
>
> S kolegy vidime zasadni problem v dotazu ANY. Pokud by se podarilo tento typ
> dotazu zakazat, neodpovidat na nej, bude tento utok neuciny.
>
> Najit v Bindu misto, kde by se tento dotaz filtroval neni jednoduche. A
> opravovat to s kazdou novou verzi je nepouzitelne.
>
> Co tak pouzit firewall. V IPTABLES to mozne je:
> -p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|'
> -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
>
> Vice na URL: https://isc.sans.edu/diary.html?storyid=13261
>
> Mate nejaky napad, jak to udelat ve FreeBSD 8. V IPFW jsem nenasel nic, co by
> podobnou konstrukci umoznilo.
>
> Diky
> Ivo Hazmuk
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>
More information about the Users-l
mailing list