Както описах тук, за да предпазя DNS сървърите ми да се използват като средство за атака от трети лица съм лимитирал заявките, на които да се отговаря в рамките на една секунда. Това значително намалаи трафика, но… все още продължаваше да тече трафик до 4-5mbps от всеки сървър. При 12 сървъра става една прилична сума трафик, която някой може да си отнася само от моите сървъри. Отделно че в един и същи момент някой може да се опитва да атакува няколко IP адреса и така хоп 10-20mbps от сървър. Като цяло това е доста неприятно, тъй като не открих прилично решение на проблема. В момента съм написал един firewall, който работи долу-горе добре, но все пак е малко извратен. Състои се в това, че през определен период от време взимам 10,000 пакета последователно получени по UDP и ако има 100 заявки тип ANY банвам IP-то за определен период от време. Върши добра работа, но все пак ми се вижда извратено. Ако някой има по-добра идея може да сподели.
Тъй като целия този чек на пакетите съм го интегрирал в една система е малко невъзможно да извадя кода му като самостоятелен тук, но основното е това, че взимам съдържанието на пакетите с tcpdump, останалото е въпрос на малка калкулация със source IP адресите и iptables правила.