-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Ahojte vespolek,
lidi z Masteru si stezuji, ze provozujeme otevrene DNS servery, ktere
jsou pak pouzivany k DDoS utokum.
Popis, co je DNS amplification attack, najdete tady:
http://www.isotf.org/news/DNS-Amplification-Attacks.pdf
V cestine je o nem zminka napriklad tady:
http://www.lupa.cz/clanky/denial-of-service-utoky-reflektivni-a-zesilujici-…
(ke konci clanku)
** Co s tim **
V podstate neni jina moznost, nez otevrene DNS servery neprovozovat.
Je potreba rozlisovat mezi autoritativnim serverem, na kterem jsou
vedene domeny a mezi tzv. rekurzivnimi servery, ktere jsou urcene k
beznemu prekladani pro klienty.
Autoritativni servery nechame stranou, tam se nejde branit v podstate
jinak nez drastickym omezenim funkcionality; k masovym DDoS se stejne
pouzivaji rekurzivni DNS servery.
Long story short: zavedte si seznamy povolenych adres/subnetu, odkud
dovolite rekurzivni dotazovani.
Neberte to jako zakaz provozu otevrenych rekurzivnich DNS serveru, je
to jenom silne doporuceni.
Berme to jako slusnost vuci ostatnim adminum po Internetu, prispejeme
tak k mensi spotrebe antidepresiv :)
Priklad, jak jsem to vyresil na prasiatko.vpsfree.cz pro BIND9:
Obsah /etc/bind/named.conf.options :
acl "allowrecursion" {
::1/128; // Internal network
127.0.0.0/8; // Internal network
172.16.0.0/12; // Internal network
77.93.223.0/24; // vpsFree.cz Master Internet Praha
83.167.228.0/25; // vpsFree.cz Master Internet Praha
77.93.197.0/24; // vpsFree.cz Master Internet Praha -
legacy
2a01:430:17::/48; // vpsFree.cz Master Internet Praha
37.205.8.0/21; // Relbit RIPE allocation
2a00:cb40::/32; // Relbit RIPE allocation
};
options {
directory "/var/cache/bind";
auth-nxdomain no;
listen-on-v6 { any; };
allow-query { "allowrecursion"; };
};
- --
S pozdravem
Pavel Snajdr
+421 948 816 186 | +420 720 107 791 | 110-010-956
CTO of Relbit | Predseda vpsFree.cz, o.s. | RHCE
http://relbit.com |
http://vpsfree.cz |
https://www.redhat.com
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla -
http://enigmail.mozdev.org/
iF4EAREIAAYFAlAGvNkACgkQdh+64ds5DabXbwD8Cn0IubTZZqzOSCL/GM3XZK7S
NTDsEvSXrR5g6Ye4FRoA/0olLwvQANp4o6OrZCEwKCaAkN6Irs6jahgG5WJbBgjL
=6pWs
-----END PGP SIGNATURE-----