-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahojte vespolek,
lidi z Masteru si stezuji, ze provozujeme otevrene DNS servery, ktere jsou pak pouzivany k DDoS utokum.
Popis, co je DNS amplification attack, najdete tady:
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
V cestine je o nem zminka napriklad tady:
http://www.lupa.cz/clanky/denial-of-service-utoky-reflektivni-a-zesilujici-t... (ke konci clanku)
** Co s tim **
V podstate neni jina moznost, nez otevrene DNS servery neprovozovat.
Je potreba rozlisovat mezi autoritativnim serverem, na kterem jsou vedene domeny a mezi tzv. rekurzivnimi servery, ktere jsou urcene k beznemu prekladani pro klienty.
Autoritativni servery nechame stranou, tam se nejde branit v podstate jinak nez drastickym omezenim funkcionality; k masovym DDoS se stejne pouzivaji rekurzivni DNS servery.
Long story short: zavedte si seznamy povolenych adres/subnetu, odkud dovolite rekurzivni dotazovani.
Neberte to jako zakaz provozu otevrenych rekurzivnich DNS serveru, je to jenom silne doporuceni.
Berme to jako slusnost vuci ostatnim adminum po Internetu, prispejeme tak k mensi spotrebe antidepresiv :)
Priklad, jak jsem to vyresil na prasiatko.vpsfree.cz pro BIND9:
Obsah /etc/bind/named.conf.options :
acl "allowrecursion" { ::1/128; // Internal network 127.0.0.0/8; // Internal network 172.16.0.0/12; // Internal network 77.93.223.0/24; // vpsFree.cz Master Internet Praha 83.167.228.0/25; // vpsFree.cz Master Internet Praha 77.93.197.0/24; // vpsFree.cz Master Internet Praha - legacy 2a01:430:17::/48; // vpsFree.cz Master Internet Praha 37.205.8.0/21; // Relbit RIPE allocation 2a00:cb40::/32; // Relbit RIPE allocation };
options { directory "/var/cache/bind";
auth-nxdomain no; listen-on-v6 { any; }; allow-query { "allowrecursion"; }; };
- -- S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956 CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE http://relbit.com | http://vpsfree.cz | https://www.redhat.com