Di server DNS saya yang bernama.conf saya melihat
rate-limit {
responses-per-second 5;
window 5;
};
Apa arti sebenarnya? Dan bisakah itu menyebabkan masalah klien DNS? Apakah ini konfigurasi yang terlalu ketat?
Di server DNS saya yang bernama.conf saya melihat
rate-limit {
responses-per-second 5;
window 5;
};
Apa arti sebenarnya? Dan bisakah itu menyebabkan masalah klien DNS? Apakah ini konfigurasi yang terlalu ketat?
Jawaban:
Ini membatasi jumlah respons identik yang dapat diperoleh klien DNS tunggal dalam sedetik. The window 5
pilihan memungkinkan ledakan dari 5 * 5 tanggapan.
"Respons identik" dan "klien DNS tunggal" adalah istilah yang agak tidak jelas di sini, baca ini untuk info lebih lanjut: http://web.archive.org/web/20140209100744/http://ss.vix.su/~ vjs / rl-arm.html .
Umumnya itu adalah hal yang baik untuk menilai-batas - dapat membantu Anda dalam kasus serangan DOS suatu hari. Defaultnya harus OK untuk sebagian besar kasus.
window
hanya digunakan untuk mengendalikan rentang waktu di mana "tanggapan identik" dikirim ke setiap "klien DNS tunggal" dilacak. The Pedoman BIND 9 Administrator Referensi negara: The [RRL klien] akun tidak bisa menjadi lebih positif daripada per detik batas atau lebih negatif daripada window
kali batas per-detik. Pesan dari Vernon Schryver ini menjelaskan perilaku algoritma lebih terinci.
Anda harus membaca manual referensi administrator untuk BIND 9.9 .
Pada dasarnya, responses-per-second
adalah jumlah balasan yang identik yang dapat dikirim ke satu tujuan tunggal, per detik. Definisi-definisi itu rumit.
Satu tujuan adalah blok alamat jaringan, dari ukuran yang dikonfigurasi dalam ipv4-prefix-length
atau ipv6-prefix-length
sebagaimana berlaku. Jadi, jika ipv4-prefix-length
24, dan keduanya 192.0.2.1
dan192.0.2.2
menanyakan server DNS, mereka akan membagikan kuota ini dan hanya dapat mengirim begitu banyak pertanyaan di antara keduanya.
Balasan identik adalah balasan untuk pertanyaan untuk RRtype tertentu untuk nama tertentu yang ada, atau untuk nama yang tidak ada. Pertanyaan berikut semuanya berbeda:
IN A example.net.
IN A www.example.net.
IN AAAA example.net.
IN A nonexistent.domain.example.net.
Namun, semua pertanyaan berikut ini identik (dengan asumsi nonexistent.domain.example.net.
dll. Sesuai dengan namanya):
IN A nonexistent.domain.example.net.
IN A nonexistent.domain2.example.net.
IN SOA other.nonexistent.domain.example.net.
window
mempersulit hal-hal sedikit lebih tenang. Ini adalah jumlah detik kuota yang dapat ditagih. Mengalikan window
dan responses-per-second
memberikan maksimum kuota apa pun bisa positif, atau lebih mendasar, kapasitas meledak.
Untuk memberikan contoh tangkapan-semua:
Anda adalah nameserver yang berulang dan otoritatif untuk example.net.
. Bayangkan tidak ada lalu lintas DNS yang terlihat sama sekali dalam 10 detik terakhir, dan konfigurasi dalam pertanyaan berlaku secara global. Peristiwa berikut terjadi secara berurutan:
IN NS example.net.
. 25 akan diizinkan, dan 75 sisanya akan diabaikan.IN A nonexistent.example.net.
. 25 akan diizinkan, dan 75 sisanya akan diabaikan.IN MX nonexistent-domain.example.net.
Ini akan diabaikan karena batas untuk domain yang tidak ada telah tercapai.IN A example.net.
. Boleh boleh saja.IN NS example.net.
. 25 dari mereka mendapatkan balasan dan 25 lainnya diabaikan; kuota untuk 198.51.100.0/24 tidak berlaku untuk host ini, tetapi mereka berbagi kuota untuk 192.0.2.0/24.IN NS example.net.
. 5 dari mereka mendapatkan balasan dan 20 sisanya diabaikan, karena kuota hanya diisi ulang oleh 5 pertanyaan per detik.iptables -A INPUT -p udp --dport 53 -m recent --set --name dnslimit
iptables -A INPUT -p udp --dport 53 -m recent --update --seconds 60 --hitcount 11 --name dnslimit -j DROP
Tabel IP dapat bekerja dengan baik. Menjaga lalu lintas keluar dari layanan sepenuhnya jika serangan ditemukan.
Saya tidak berpikir itu ide yang baik untuk menilai batas, tanyakan pada diri sendiri: apakah Anda menilai membatasi tanggapan server web juga? Menurut Anda mengapa respons DNS kurang penting daripada respons server web?
Dan bahkan jika Anda menilai batas, 5 req / detik itu terdengar sangat rendah.