Zabezpieczenie Binda w iptables

Jak odpowiadać na rekursywne ataki DNS, DoS lub DDoS?

Poniżej kilka przykładów konfiguracji iptables:

Objawem ataków jest wpis w logach Binda podobny do poniższego i powtarzający się nawet kilka razy na sekundę z różnych adresów IP lub cały czas z tego samego.

query (cache) 'isc.org/ANY/IN'

Na początku przed innymi regułami dotyczącymi DNS’a należy dodać poniższe wpisy i zrestartować firewalla:

PUBLIC_IF=eth0 //interfejs sieciowy publiczny
IPTABLES=/sbin/iptables //ścieżka do iptables

$IPTABLES -A INPUT -i $PUBLIC_IF -p udp --dport 53 -m recent --set
$IPTABLES -A INPUT -i $PUBLIC_IF -p udp --dport 53 -m recent --update --seconds 30 --hitcount 10 -j DROP

lub inny przykład:

PUBLIC_IF=eth0 //interfejs sieciowy publiczny
IPTABLES=/sbin/iptables //ścieżka do iptables

$IPTABLES -A INPUT -i $PUBLIC_IF -p udp --dport 53 -m recent --update --seconds 30 -j DROP
$IPTABLES -A INPUT -i $PUBLIC_IF -p udp --dport 53 -m recent --update --seconds 30 --hitcount 10 --rttl --set -j DROP

poniższe też może być ciekawe:

PUBLIC_IF=eth0 //interfejs sieciowy publiczny
IPTABLES=/sbin/iptables //ścieżka do iptables

$IPTABLES -A INPUT -i $PUBLIC_IF -d $MAIN_IP -p udp --dport 53 -m state --state ESTABLISHED,RELATED -j DROP