本来想公开自己自建的 DNS 服务器 但是害怕别人用来 DNS 放大攻击.不知道有没有什么办法能够防御住 顺道问下 DOT 的证书是怎么搞到的
1
mingl0280 2019-02-28 01:39:25 +08:00
内网 dns 怎么会被用来放大攻击?内外网界的防火墙上外部进来的 dns 包都拦掉了你放大什么?
|
2
Love4Taylor 2019-02-28 02:01:51 +08:00 via Android
过滤掉 ANY?
你网站证书怎么搞的 DoT 证书就怎么搞. |
4
jimzhong 2019-02-28 09:32:50 +08:00
DNS Cookie 或许对 LZ 有帮助
https://tools.ietf.org/html/rfc7873 |
6
cat9life 2019-02-28 10:09:44 +08:00
限制请求频率相对简单易执行
|
8
johnjiang85 2019-03-01 00:05:18 +08:00
RRL(response rate limit) -- 目前业界对通过递归反射攻击的常用方案
请求限速 IP 重传 CNAME 防护 源端口黑名单 限制 any 查询等 |
9
emeab OP 感觉都比较麻烦 还是自用闷声发大财算了.
|
10
xzsljc 2020-03-10 15:24:13 +08:00
先设定不受限制的网段
iptables -v -A INPUT -t filter -s 11.11.11.0/24 -j ACCEPT 加载个模块 iptables -v -A INPUT -p udp --dport 53 -m recent --set --name dnsanyquery 1 秒内 10 次就 kill 掉(手工试了下,除了恶意攻击,还是很难达到这个手速的...) iptables -v -A INPUT -p udp --dport 53 -m recent --name dnsanyquery --rcheck --seconds 1 --hitcount 10 -j DROP 也可以用 tcpdump 抓包设定 query 规则 |