dns flood с pipe или другие методы

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Enakentiy
проходил мимо

dns flood с pipe или другие методы

Непрочитанное сообщение Enakentiy » 2009-09-23 20:25:39

Всем привет.
Нужна помощь. Есть вопрос, как ограничить количество запросов на dns сервер.
Под линукс делал это с помощью iptables фича "recent" просто ограничивал по количеству пакетов за минуту.
Пробовал статью , но тут возникла проблема как подобрать скорость пакетов и количество пакетов в очереди, для нормального среднестатистического пользователя dns.
Тут насколько я понял принцип pipe: нужно задать скорость передачи пакетов, что ни есть хорошо задержки на преобразования имен, а от суда все вытекающие в смысле ухудшения сервиса. И если они(пакеты) не будут успевать проходить, то станут в очередь и только из-за перенакопления в очереди будут отброшены последниипришедшии.
Может, кто поделится опытом по методам препятствия dns flooda или подсказать с pipe.
Спасибо.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Гость
проходил мимо

Re: dns flood с pipe или другие методы

Непрочитанное сообщение Гость » 2009-09-24 9:27:49

Совсем забыл сама статья "сервер имен, FreeBSD и dummynet – так хорошо вместе!" http://www.nestor.minsk.by/sr/2005/05/sr50514.html. Система FreeBSD 7.1, сервер dns- BIND 9.6.1-P1.

Enakentiy
проходил мимо
Сообщения: 6
Зарегистрирован: 2009-09-24 9:29:35

Re: dns flood с pipe или другие методы

Непрочитанное сообщение Enakentiy » 2009-09-24 9:33:12

Гость писал(а):Совсем забыл сама статья "сервер имен, FreeBSD и dummynet – так хорошо вместе!" http://www.nestor.minsk.by/sr/2005/05/sr50514.html. Система FreeBSD 7.1, сервер dns- BIND 9.6.1-P1.
Сори случайно под гостем зашол

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: dns flood с pipe или другие методы

Непрочитанное сообщение zingel » 2009-09-24 10:06:26

Код: Выделить всё

ipfw add allow tcp from any to $dns-ip 53 via $interface setup limit src-addr 10
Z301171463546 - можно пожертвовать мне денег

Enakentiy
проходил мимо
Сообщения: 6
Зарегистрирован: 2009-09-24 9:29:35

Re: dns flood с pipe или другие методы

Непрочитанное сообщение Enakentiy » 2009-09-24 17:35:16

Спасибо за ответ но: tcp 53 порт используется для длинных ответов на запросы и передачи зон, а для клиентских завсегдатых запросов используется udp 53. И на сколько я понял setup limit тянет только tcp.

Пробовал такое правило:

Код: Выделить всё

ipfw 331 add allow udp from any to $dns-ip 53  via $interface limit src-addr 10

Без него ни чего не пропускает, а с ним проходит без ограничения.

Enakentiy
проходил мимо
Сообщения: 6
Зарегистрирован: 2009-09-24 9:29:35

Re: dns flood с pipe или другие методы

Непрочитанное сообщение Enakentiy » 2009-09-25 8:47:38

Может у ково, есть какие еще соображения. Возможно, ли вообще в freebsd ограничивать udp?

Kos
мл. сержант
Сообщения: 118
Зарегистрирован: 2009-01-19 23:15:49

Re: dns flood с pipe или другие методы

Непрочитанное сообщение Kos » 2009-09-25 10:25:09

Провел эксперимент. при добавлении правила типа:

Код: Выделить всё

ipfw add 1 allow all from any to me 53 limit src-addr 2
у меня вообще перестал ДНС отдаваться nslookup-у из локалки

если увеличить до 4 то 1 nslookup отрабатывает, а почти одновременно запущенный второй виснет
если увеличить до 10 то отрабатывают оба.

Enakentiy
проходил мимо
Сообщения: 6
Зарегистрирован: 2009-09-24 9:29:35

Re: dns flood с pipe или другие методы

Непрочитанное сообщение Enakentiy » 2009-09-25 14:03:53

Нашел такое: http://forum.nag.ru/forum/index.php?s=9 ... ntry281505

Отсуда выплывает, что limit - выставлять лимит одновременных соединений, а "соединение" не применимо к udp запросам.

Раз другого выхода нет. Думаю копать в сторону утилиты dns_flood и автоматическо-прямой блокировки клиентского порта на свитче.