Предпазване от DNS amplification attack (part 2)

Както описах тук, за да предпазя DNS сървърите ми да се използват като средство за атака от трети лица съм лимитирал заявките, на които да се отговаря в рамките на една секунда. Това значително намалаи трафика, но… все още продължаваше да тече трафик до 4-5mbps от всеки сървър. При 12 сървъра става една прилична сума трафик, която някой може да си отнася само от моите сървъри. Отделно че в един и същи момент някой може да се опитва да атакува няколко IP адреса и така хоп 10-20mbps от сървър. Като цяло това е доста неприятно, тъй като не открих прилично решение на проблема. В момента съм написал един firewall, който работи долу-горе добре, но все пак е малко извратен. Състои се в това, че през определен период от време взимам 10,000 пакета последователно получени по UDP и ако има 100 заявки тип ANY банвам IP-то за определен период от време. Върши добра работа, но все пак ми се вижда извратено. Ако някой има по-добра идея може да сподели.

Тъй като целия този чек на пакетите съм го интегрирал в една система е малко невъзможно да извадя кода му като самостоятелен тук, но основното е това, че взимам съдържанието на пакетите с tcpdump, останалото е въпрос на малка калкулация със source IP адресите и iptables правила.

This entry was posted in IT, Проекти and tagged , , , , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *