জনগণ পুনরাবৃত্ত ডিএনএস সার্ভারের মুখোমুখি - iptables বিধি


16

আমরা লিনাক্স মেশিনে পাবলিক-ফেসিং পুনরাবৃত্ত ডিএনএস সার্ভারগুলি পরিচালনা করি। আমরা ডিএনএস পরিবর্ধনের আক্রমণগুলির জন্য ব্যবহার করেছি। এমন কোনও প্রস্তাবিত iptablesনিয়ম রয়েছে যা এই আক্রমণগুলিকে প্রশমিত করতে সহায়তা করবে?

সুস্পষ্ট সমাধান হ'ল আউটবাউন্ড ডিএনএস প্যাকেটগুলি নির্দিষ্ট ট্র্যাফিক স্তরে সীমাবদ্ধ করা। তবে আমি আশা করি যে কিছুটা আরও চৌকস কিছু পেয়ে যাব যাতে আক্রমণটি ভুক্তভোগী আইপি ঠিকানায় ট্র্যাফিক বন্ধ করে দেয়।

আমি পরামর্শ এবং পরামর্শগুলি সন্ধান করেছি, তবে তারা সবাই "জনসমক্ষে মুখোমুখি পুনরাবৃত্ত নাম সার্ভারগুলি চালাবেন না" বলে মনে হচ্ছে। দুর্ভাগ্যক্রমে, আমরা এমন পরিস্থিতিতে ফিরে এসেছি যেখানে এমন পরিবর্তন করা খুব সহজ নয় যেগুলি যদি আমরা না করি তবে তা ভেঙে যায়, এবং এই হামলার বিষয়টি হওয়ার আগে এক দশকেরও বেশি সময় আগে নেওয়া সিদ্ধান্তের কারণে এটি ঘটে।


2
যে লোকেরা আপনাকে জনসাধারণের মুখোমুখি পুনরাবৃত্ত নাম সার্ভারটি চালনা না করার পরামর্শ দিচ্ছে তারা ঠিক। আপাতদৃষ্টিতে কেন এটি প্রয়োজনীয় তা আপনি ব্যাখ্যা করতে পারেন ?
Alnitak

1
@ অলনিটক: দশকেরও বেশি সময় আগে নেওয়া সিদ্ধান্তের কারণে আমরা যদি তা না করি তবে যে জিনিসগুলি পরিবর্তন করা সহজ নয় সেগুলি ভেঙে যাবে।
ডেভিড শোয়ার্জ

হ্যাঁ, আমি এটি প্রথম প্রশ্নের মধ্যে দেখেছি। আপনি ব্যাখ্যা করতে পারেন যে কেন কনফিগারেশন প্রয়োজনীয়?
Alnitak

2
@ অ্যালনিটক: কারণ যে জিনিসগুলি পরিবর্তন করা সহজ নয় তার উপর নির্ভর করে। এগুলি এমন ডিভাইস যা তাদের ফার্মওয়্যার জ্বলিত হয়েছে এবং সারা বিশ্বে মোতায়েন রয়েছে, অনেকগুলি সুরক্ষিত সুবিধাগুলিতে যেখানে আমাদের অ্যাক্সেস নেই।
ডেভিড শোয়ার্জ

আপনার এম্বেড থাকা সিস্টেমগুলি কি ইউডিপির পরিবর্তে টিসিপি নাম রেজোলিউশন সমর্থন করে? যদি তা হয় তবে রেজুলেশনের জন্য ইউডিপি অক্ষম করা কত সহজ হবে?
মাইক পেনিংটন

উত্তর:


9

"আমার সমস্যা নয়" দৃশ্যের সম্পূর্ণ বিষয়গুলি যা সত্যই আপনার দোষ নয় এবং যথাযথ ব্যবস্থা গ্রহণের মাধ্যমে 100% সমাধান করা উচিত, যতই "কঠিন" বা "কঠিন" নির্বিশেষে, এবং এটি আপনার অবসান ঘটাচ্ছে পুনরাবৃত্তি সার্ভার খুলুন

এটি পর্যায়ক্রমে: গ্রাহকদের বলুন যে এই সার্ভারটি X তারিখ হিসাবে চলে যাচ্ছে। সেই সময়ের পরে, আপনার ডিএনএস সার্ভারটি ব্যবহার বন্ধ করার জন্য তাদের একটি প্যাচ ইনস্টল করতে হবে (ধরে নিচ্ছেন আপনার কাছে একটি রয়েছে)। এটি সর্বদা করা হয়। সিসাদমিনস, নেটওয়ার্ক অ্যাডমিন, হেল্পডেস্ক বলছি, প্রোগ্রামাররা? আমরা পেতে এটা; জীবনের শেষ অবধি এটি সর্বদা ঘটে থাকে, কারণ কোনও বিক্রেতার / পরিষেবা সরবরাহকারী / অংশীদারদের জন্য এটি আমাদের স্ট্যান্ডার্ড অপারেটিং পদ্ধতিটি এক্স তারিখের পরে কিছু ব্যবহার বন্ধ করতে বলে। আমরা সবসময় এটি পছন্দ করি না, তবে এটি আইটি জীবনের সত্য life

আপনি বলছেন বর্তমান ডিভাইসে আপনার কাছে এই সমস্যা নেই, তাই আমি ধরে নিচ্ছি আপনি কোনও ফার্মওয়্যার আপডেট বা প্যাচ দিয়ে এই সমস্যাটি সমাধান করেছেন। আমি জানি আপনি বলেছেন যে আপনি ডিভাইসটি স্পর্শ করতে পারবেন না, তবে তারা কি পারবেন? আমি বলতে চাইছি, যদি তারা এই বাক্সগুলি আপনাকে মূলত ফোন করতে দেয় তবে তাদের ডিভাইসগুলিতে কে কী করছে সে সম্পর্কে তারা সত্যই এই মলদ্বার হতে পারে না ; তাদের জানা সকলের জন্য আপনার কাছে একটি বিপরীত প্রক্সি সেটআপ থাকতে পারে, তবে কেন তাদের কোনও প্যাচ ইনস্টল করবেন না যা এটি ঠিক করে দেয় বা তাদের নিজস্ব ডিএনএস সার্ভার ব্যবহার করতে বলুন । অবশ্যই আপনার ডিভাইস ডিএইচসিপি সমর্থন করে; আমি একটি নেটওয়ার্ক ডিভাইস মনে করতে পারবেন না (কোন ব্যাপার না কত পুরানো / অথর্ব / বিজোড়) যে না

আপনি যদি এটি না করতে পারেন তবে পরবর্তী কাজটি হ'ল আপনার পুনরাবৃত্তিকারী সার্ভারটি কে অ্যাক্সেস করতে পারে তা নিয়ন্ত্রণ করা : আপনি বলে যে এটি "কী বলা যায়" কে এটি ব্যবহার করছে এবং কীভাবে, তবে এটি নির্দিষ্ট করে খুঁজে বের করার এবং ট্রাফিকের নামা শুরু করার সময় এসেছে time বৈধ নয়।

এগুলি কি "আধা-সামরিক / সরকার" সংগঠন, তাই না? ভাল, তারা সম্ভবত তাদের মালিকানাধীন বৈধ নেটব্লকের অংশ; এই ডিভাইসগুলি গতিশীল আইপিগুলির পিছনে হোম রাউটার নয়। খুঁজে বের কর. তাদের সাথে যোগাযোগ করুন, সমস্যাটি ব্যাখ্যা করুন এবং ফার্মওয়্যার বা পণ্য প্রতিস্থাপনের জন্য জোর না করে আপনি কীভাবে তাদের প্রচুর অর্থ সাশ্রয় করছেন তা যদি কেবলমাত্র তারা নেটব্লক / আইপি ঠিকানাটি নিশ্চিত করতে পারে যা ডিভাইসটি আপনার ডিএনএস সার্ভার অ্যাক্সেস করতে ব্যবহার করবে।

এটি সর্বদা করা হয়: আমার বেশ কয়েকটি গ্রাহক আছেন যারা এইভাবে স্বাস্থ্যসেবা অংশীদারদের কাছে এক্সরানেট অ্যাক্সেস বা এইচএল 7 শ্রোতাগুলিকে সীমাবদ্ধ করে; এটা খুব কঠিন নাতাদের একটি ফর্ম পূরণ করতে এবং আইপি এবং / অথবা নেটব্লক সরবরাহ করার জন্য আমার কাছ থেকে ট্র্যাফিকের প্রত্যাশা করা উচিত: তারা যদি এক্সট্র্যানেটে অ্যাক্সেস চান তবে তাদের আমাকে একটি আইপি বা সাবনেট দিতে হবে। এবং এটি খুব কমই চলমান লক্ষ্য তাই এটি প্রতিদিনের মতো শত শত আইপি পরিবর্তনের অনুরোধের সাথে আপনি ডুবে যাচ্ছেন এমনটি নয়: বড় ক্যাম্পাস হাসপাতালের নেটওয়ার্ক যা তাদের নিজস্ব নেটব্লকের মালিক যারা শত শত সাবনেট এবং হাজার হাজার এবং হাজার হাজার হোস্ট আইপি নিয়মিত আমাকে দেয় give মুষ্টিমেয় আইপি ঠিকানা বা একটি সাবনেট আমার প্রত্যাশা করা উচিত; আবার, এই ল্যাপটপ ব্যবহারকারীরা সারাক্ষণ ক্যাম্পাসের চারপাশে ঘুরে বেড়াচ্ছেন না, তবে কেন আমি ইউডিপি উত্স প্যাকেটগুলিকে একটি পরিবর্তিত আইপি ঠিকানা থেকে দেখার আশা করব? স্পষ্টতই আমি এখানে একটি অনুমান করছি, তবে আমি বাজি দেব এটি <100s ডিভাইসের জন্য আপনি যতটা ভাবেন তেমনটা নয়। হ্যাঁ, এটি একটি দীর্ঘ এসিএল হবে, এবং হ্যাঁ,

যদি কোনও কারণে যোগাযোগের চ্যানেলগুলি খোলা না থাকে (বা কেউ খুব ভয় পেয়ে থাকে বা এই উত্তরাধিকারী ডিভাইস মালিকদের সাথে যোগাযোগ করতে এবং এটি সঠিকভাবে করতে বিরক্ত করা যায় না), আপনাকে সাধারণ ব্যবহার / ক্রিয়াকলাপের একটি বেসলাইন স্থাপন করতে হবে যাতে আপনি তৈরি করতে পারেন কিছু অন্যান্য কৌশল যা ডিএনএস প্রশস্তকরণ আক্রমণগুলিতে আপনার অংশগ্রহণকে (তবে প্রতিরোধ করতে পারে না) সহায়তা করবে ।

দীর্ঘমেয়াদে tcpdumpআগত ইউডিপি 53 এবং ডিএনএস সার্ভার অ্যাপ্লিকেশনে ভারবোজ লগিংয়ে ফিল্টারিংয়ের কাজ করা উচিত। আমি উত্স আইপি ঠিকানা / নেটব্লকস / জিওআইপি তথ্য সংগ্রহ করাও শুরু করতে চাই (মার্কিন যুক্তরাষ্ট্রে আপনার সমস্ত ক্লায়েন্ট রয়েছে? অন্য সমস্ত কিছু অবরুদ্ধ করুন) কারণ, আপনি যেমন বলেছিলেন যে আপনি কোনও নতুন ডিভাইস যোগ করছেন না , আপনি কেবল একটি উত্তরাধিকার সরবরাহ করছেন বিদ্যমান ইনস্টলেশন পরিষেবা।

এটি আপনাকে রেকর্ড টাইপগুলির জন্য কী কী অনুরোধ করা হচ্ছে এবং কী ডোমেনগুলির জন্য, কাদের দ্বারা এবং কতবার বোঝার জন্য সহায়তা করবে : ডিএনএস পরিবর্ধনের উদ্দেশ্যে হিসাবে কাজ করার জন্য, আক্রমণকারীকে একটি বড় রেকর্ড টাইপের (1) অনুরোধ করতে সক্ষম হতে হবে কার্যকারিতা ডোমেন (2)।

  1. "বৃহত রেকর্ডের ধরণ": আপনার পুনরাবৃত্ত ডিএনএস সার্ভার দ্বারা সমাধান করার জন্য আপনার ডিভাইসগুলিতে এমনকি টিএক্সটি বা এসওএ রেকর্ডগুলিরও কি দরকার? আপনার ডিএনএস সার্ভারে কোন রেকর্ড প্রকারটি বৈধ তা আপনি নির্দিষ্ট করতে সক্ষম হতে পারেন; আমি বিশ্বাস করি এটি বিআইএনডি এবং সম্ভবত উইন্ডোজ ডিএনএস দিয়ে সম্ভব, তবে আপনাকে কিছু খনন করতে হবে। যদি আপনার DNS সার্ভার সঙ্গে প্রতিক্রিয়াশীল SERVFAILকোনো TXT বা এসওএ যুগ্মভাবে রেকর্ড, এবং অন্তত যে প্রতিক্রিয়া মাত্রার (বা দুই) পে লোড যে জন্যই ছিল চেয়ে ছোট একটি আদেশ হয়। স্পষ্টতই আপনি এখনও "সমস্যার অংশ" কারণ স্পোফড ভুক্তভোগী এখনও SERVFAILআপনার সার্ভার থেকে সেই প্রতিক্রিয়া পাবে, তবে কমপক্ষে আপনি সেগুলি হাতুড়ি দিচ্ছেন না এবং সম্ভবত আপনার ডিএনএস সার্ভার কাটা তালিকা থেকে "তালিকাভুক্ত" হয়ে গেছে gets বোটগুলি "সহযোগিতা" না করার জন্য সময়ের সাথে সাথে ব্যবহার করে।

  2. "কার্যকারী ডোমেন": আপনি কেবলমাত্র বৈধ ডোমেনগুলি শ্বেত তালিকাতে সক্ষম হতে পারেন। আমি এটি আমার কঠোর ডেটা সেন্টার সেটআপগুলিতে করি যেখানে সার্ভার (গুলি) কেবলমাত্র উইন্ডোজ আপডেট, সিম্যানটেক ইত্যাদির প্রয়োজন হয়। যাইহোক, আপনি কেবলমাত্র এই মুহুর্তে যে ক্ষতির সৃষ্টি করছেন তা হ্রাস করছেন: শিকারটি এখনও আপনার সার্ভারের সাথে বোমাবর্ষণ করবে NXDOMAINবা SERVFAILপ্রতিক্রিয়া জানাবে কারণ আপনার সার্ভারটি এখনও জাল উত্স আইপিতে প্রতিক্রিয়া জানাবে। আবার, বটের স্ক্রিপ্ট ফলাফলের ভিত্তিতে এটি ওপেন সার্ভারের তালিকাটি স্বয়ংক্রিয়ভাবে আপডেট করতে পারে, যাতে এটি আপনার সার্ভারটিকে সরিয়ে ফেলতে পারে।

আমি প্রয়োগের স্তরে (যেমন মেসেজের আকার, ক্লায়েন্টের সীমাবদ্ধতার জন্য অনুরোধগুলি) বা ফায়ারওয়াল স্তর (অন্যান্য উত্তরগুলি দেখুন) তে কিছু সীমাবদ্ধকরণের কিছু ফর্মও ব্যবহার করব, তবে আবার আপনি যাচ্ছেন আপনি বৈধ ট্র্যাফিককে হত্যা করছেন না তা নিশ্চিত করতে কিছু বিশ্লেষণ করতে হবে।

একটি অনুপ্রবেশ সনাক্তকরণ সিস্টেম যা টিউন করা হয়েছে এবং / বা প্রশিক্ষিত হয়েছে (আবার এখানে একটি বেসলাইন প্রয়োজন) পাশাপাশি উত্স বা ভলিউম অনুসারে সময়ের সাথে অস্বাভাবিক ট্র্যাফিক সনাক্ত করতে সক্ষম হওয়া উচিত তবে মিথ্যা ইতিবাচক প্রতিরোধে নিয়মিত বেবিসিটিং / টিউনিং / মনিটরিং নিতে হবে এবং / বা দেখুন এটি আসলে আক্রমণগুলি রোধ করছে কিনা।

দিনের শেষে, আপনাকে ভাবতে হবে যে এই সমস্ত প্রচেষ্টাটির পক্ষে মূল্য রয়েছে কিনা বা যদি আপনার কেবলমাত্র জোর দেওয়া উচিত যে সঠিক কাজটি হয়েছে এবং এটি সমস্যাটি প্রথম স্থানে দূর করছে।


1
ভাল, একটি প্যাচ সম্ভব হয় না। আমাদের কাছে কিছু প্ল্যাটফর্মের জন্য বিল্ড হার্ডওয়্যার কাজ করার দরকার নেই। যে নেটব্লকটি তারা ট্র্যাফিকের প্রত্যাশা করছেন, তারা সাধারণত জানেন না। আমি নিশ্চিত নই যে আপনি পরিবেশটি কতটা অস্বাভাবিক যে এই ডিভাইসগুলির মধ্যে রয়েছে তা প্রশংসা করেছেন Some কিছু ব্যক্তিগত নেটওয়ার্কগুলিতে রয়েছে যেখানে তাদের নিজস্ব ডিএনএস স্কিম রয়েছে, এবং সম্ভবত এমন কেউ নেই যারা এমনকি জানেন যে সিস্টেমটি কীভাবে সেট করা হয়েছিল around আপ। চুক্তিটি শেষ না হওয়া পর্যন্ত আমাদের মূলত এটি চালিয়ে যেতে হবে।
ডেভিড শোয়ার্জ

তারপরে আপনি কিছুটা ভাল করতে পারেন তা হ'ল রেট সীমাবদ্ধতার সাথে সমস্যাটি নিষিদ্ধ করা যদি না আপনি কিছু বিশ্লেষণ করতে চান। সত্যই, যদি এই সিস্টেমগুলি স্থির / অবহেলিত হয় তবে তাদের পায়ের ছাপ বদলে যাবে না এবং আপনি সমস্তগুলি সংগ্রহ করার পরে আপনি সম্ভবত উত্স আইপি দ্বারা স্তর 3 এসিএল নিয়ে পালিয়ে যেতে পারেন।
গ্রেভিফেস

1
আমি একটি হাইব্রিড পদ্ধতির কথা ভাবছি। হাইটলিস্ট আইপিগুলি আমরা সনাক্ত করতে পারি (সম্ভবত সেগুলি একটি উচ্চ সীমাতে সাপেক্ষে)। অন্যান্য আইপিগুলিকে বেশ কম সীমাবদ্ধ করে। কোনও আইপি শ্বেত তালিকাভুক্ত করা বা হোয়াইটলিস্ট থেকে সরানোর প্রয়োজন কিনা তা পর্যায়ক্রমে নিরীক্ষণ করুন।
ডেভিড শোয়ার্জ

@ ডেভিডশওয়ার্টজ @ সম্ভবত আপনার উচ্চতর সীমাও লাগবে না। আবার, বৈধ ট্র্যাফিকের একটি বেসলাইন থাকা প্রচুর পরিমাণে সহায়তা করবে।
গ্রেভিফেস

6

এটি নির্ভর করতে পারে যে ধরণের হার আপনি করতে চান তা নির্ভর করে।

রেট সীমাবদ্ধতা iptablesপ্রকৃতপক্ষে আগত প্যাকেটগুলিকে সীমাবদ্ধ করার জন্য আরও লক্ষ্যযুক্ত, যেহেতু সীমা পর্যন্ত প্যাকেটগুলি ফিল্টারটির সাথে মিলবে এবং নির্দিষ্ট লক্ষ্য প্রয়োগ করা হবে (যেমন, ACCEPT)। DROPফিল্টারটির সাথে মেলে না এমন প্যাকেটগুলির জন্য সম্ভবত আপনার পরবর্তী লক্ষ্য থাকবে । এবং যদিও iptablesএটির একটি QUEUEলক্ষ্য রয়েছে এটি কেবল প্যাকেটটিকে ব্যবহারকারীর জায়গায় চলে যায় যেখানে আপনাকে নিজের কুইটিং অ্যাপ্লিকেশন সরবরাহ করতে হবে। আপনি বহির্গামী প্যাকেটগুলিও সীমাবদ্ধ করতে পারেন, তবে খুব কম লোকই বহির্গামী ট্র্যাফিক বাদ দিতে শুরু করতে চান।

iptables হার সীমা:

iptables -A INPUT -p udp --port 53 -m hashlimit --hashlimit 1/minute --hashlimit-burst 5 -j ACCEPT
iptables -A INPUT -p udp --port 53 -j DROP

hashlimitপরিবর্তে ব্যবহার করা limitআপনাকে গন্তব্য আইপি প্রতি রেট সীমাবদ্ধ করে দেবে। উদাহরণস্বরূপ, সীমাতে আঘাত হ্রাসকারী পাঁচটি প্যাকেট 8.8.4.4 এ প্যাকেটগুলি প্রেরণ করা রোধ করবে এবং hashlimitযদি 8.8.8.8 সর্বাধিক হয় তবে আপনি এখনও 8.8.4.4 এ পৌঁছাতে পারবেন, যা আপনি যা চান তার মতো শোনাচ্ছে।

আপনি যদি প্যাকেটগুলি ফেলে দেওয়ার সীমা ছাড়িয়ে যেতে না চান তবে আপনি যা চান তা আসলে tctcপ্রচুর বারস্টি ট্র্যাফিকের পরিবর্তে একটি দুর্দান্ত স্থির স্ট্রিম পেতে প্রবাহকে নিয়ন্ত্রণ করবে। ইনকামিং সাইডে প্যাকেটগুলি ধীরে ধীরে অ্যাপ্লিকেশনটিতে সরবরাহ করা হয় তবে সমস্ত ক্রমে পৌঁছে যাবে। বহির্গামী প্যাকেটগুলিতে আপনার অ্যাপ্লিকেশনটি যত তাড়াতাড়ি সম্ভব ত্যাগ করবে তবে তারের সাথে ধারাবাহিক প্রবাহে রাখবে।

আমি খুব tcবেশি ব্যবহার করি নি , তবে এখানে আইসিএমপি রেট সীমাবদ্ধ করার একটি উদাহরণ যা আপনি সম্ভবত ডিএনএসের জন্য সহজেই মানিয়ে নিতে পারেন।


1
এই সেটআপটি সম্পর্কে ফরাসী ভাষায় আমার নিবন্ধ (প্রকৃত ওপেন রেজোলভারের
bortzmeyer

4

ছদ্মবেশী প্রশ্নের জন্য সম্ভাব্য প্রতিক্রিয়াগুলি হ্রাস করার জন্য এখানে একটি জিনিস আপনি করতে পারেন তবে এটি কিছুটা কাজ নেয়:

প্রথমে, সুরক্ষা চ্যানেলের আপনার লগটি একবার দেখুন এবং একটি আইপি অ্যাড্রেস খুঁজে নিন যা প্রতারণা করছে।

তারপরে এই জাতীয় উত্স আইপি (10.11.12.13) ব্যবহার করে একটি টিসিপিডাম্প চালান:

tcpdump -n src 10.11.12.13 and udp dst port 53 -v -X -S

আপনি এই জাতীয় কিছু পাবেন:

18: 37: 25.969485 আইপি (টস 0x0, টিটিএল 52, আইডি 46403, অফসেট 0, পতাকাগুলি [কোনও নয়], প্রোটো: ইউডিপি (17), দৈর্ঘ্য: 45) 10.11.12.13.51169> 01.02.03.04.domain: 4215+ যে কোনও ? । (17)
        0x0000: 4500 002 ডি বি 543 0000 3411 বি 9 ডি 9 0 এ 0 বি 0 সি 0 ডি ই ..-। সি..4 .......
        0x0010: 0102 0304 c7e1 0035 0019 0e89 1077 0100 ....... 5 ..... ডাব্লু ..
        0x0020: 0001 0000 0000 0000 0000 ff00 0100 ..............

এখন মজার অংশ! এ rfc1035 খুলুন http://tools.ietf.org/html/rfc1035 এবং অধ্যায় 4.1.1 চালু।

Tcpdump এর ফলাফলগুলি অনুবাদ করার এবং প্যাকেট স্তরের ফিল্টার তৈরি করতে আমরা যে প্যাটার্নটি ব্যবহার করতে পারি তা বের করার সময় এসেছে।

শিরোনামটির আইডি 0x1 সি থেকে শুরু হয়, সুতরাং আমরা 0x1E এ কিছু পতাকা পেয়েছি, 0x20 এ QDCOUNT, 0x22 এ আনকাউন্ট, 0x24 এ এনএসএসিটি এবং 0x26 এ আরআরসিটি রয়েছে।

এটি আসল প্রশ্নটি 0x28 এ ফেলেছে, যা এই ক্ষেত্রে NAME এর জন্য শূন্য (মূল), QTYPE = যে কোনওটির জন্য 0xFF এবং QCLASS = IN এর জন্য 0x01।

দীর্ঘায়িত গল্পটি সংক্ষিপ্ত করতে, আমি খুঁজে পেয়েছি যে মূলগুলিতে যে কোনও রেকর্ডের জন্য অনুরোধ করা হয়েছে এমন 95৫% এর উপরে ছদ্মবেশী প্রশ্নের নীচে iptables নিয়ম ব্লক যুক্ত করা হয়েছে:

iptables -A INPUT -p udp --dport domain -m u32 --u32 "0x28=0x0000ff00" -j DROP

আপনার মাইলেজ বিভিন্ন হতে পারে ... আশা করি এটি সাহায্য করবে।


3

tcআউটবাউন্ড পোর্ট 53 ইউডিপির জন্য লিনাক্সে শৃঙ্খলাগুলি ব্যবহার এবং সন্ধান করা:

IFACE=eth0    
tc qdisc  add dev ${IFACE} root handle 1: htb default 0
tc class  add dev ${IFACE} parent 1: classid 1:1 htb rate   10mbit burst 20m
tc qdisc  add dev ${IFACE} parent 1:1 handle 10: sfq perturb 1
tc filter add dev ${IFACE} protocol ip parent 1:0 prio 1 handle 1 fw flowid 1:1

discফায়ারওয়াল চিহ্ন '1' সহ যে কোনও প্যাকেটের জন্য আপনাকে 10 এমবিটের সাথে সীমাবদ্ধ করবে। ফায়ারওয়াল চিহ্নিতকরণগুলি কেবল ফায়ারওয়ালের অভ্যন্তরীণ এবং প্যাকেটটি পরিবর্তন করে না। সারি শৃঙ্খলাবদ্ধভাবে প্যাকেট হ্যান্ডলিং। iptablesফায়ারওয়াল চিহ্নিতকরণগুলি করতে আপনি এখানে কীভাবে ব্যবহার করেন:

iptables -A PREROUTING -o eth0 -p udp --sport 53 -t mangle -j MARK --set-mark 1
iptables -A PREROUTING -o eth0 -p udp --dport 53 -t mangle -j MARK --set-mark 1

বিশ্বস্ত সাবনেট এবং / অথবা গন্তব্যগুলি বাদ দিতে আপনার পছন্দ অনুসারে পরিবর্তন করুন। কেবল -o eth0আউটবাউন্ড প্যাকেটগুলিতে শেপিংয়ের সীমাবদ্ধ করে। আশাকরি এটা সাহায্য করবে.


ডিএনএস ইউডিপি এবং টিসিপি ব্যবহার করে ...
প্যাট্রিক মেভিজেক

1

আমি সমস্ত ক্লায়েন্টের একটি তালিকা রচনা করার চেষ্টা করব যা আপনার বাহ্যিকভাবে পুনরাবৃত্তির সমাধানকারীদের উপর নির্ভর করে। ডিএনএস বাক্সগুলিতে প্যাকেটের ট্রেসগুলির একটি দিন বা তার সাথে শুরু করুন। সেখান থেকে, ট্র্যাফিকটিকে আপনি স্বীকৃতি ও অনুমোদনের অনুমতি দেওয়ার জন্য iptables বিধি তৈরি করা শুরু করুন। ডিফল্টটি অবশেষে ট্র্যাফিকটি 53 / টিসিপি এবং 53 / ইউডিপিতে নেমে আসবে। যদি এটি কিছু ভেঙে যায় তবে আপনার নিয়মগুলি ঠিকঠাক করুন।


1

নেটওয়ার্কের 'অবস্থান' এর উপর নির্ভর করে আপনি [একাধিক বিজিপি ফিড পেয়েছেন বা ইন্টারনেটের শেষের দিকে রয়েছেন - স্টাব নেটওয়ার্ক হিসাবে] সোর্স ঠিকানার স্পোভিং রোধ করতে আপনি ইউআরপিএফ এর মতো কিছু চেষ্টা করতে পারেন ।

তথ্য অন্যান্য উত্স।


আপনার নিজের ক্লায়েন্টদের স্পোফিং থেকে বিরত রাখতে আপনি কেবল ইউআরপিএফ ব্যবহার করতে পারেন। ইউআরপিএফ আমার পক্ষে যে কোনও উপকার করার একমাত্র উপায় হ'ল যদি আমি অন্য প্রত্যেককে এটির ব্যবহারের জন্য পেয়ে থাকি। আমি আমার নিজের গ্রাহকদের দ্বারা চালিত আক্রমণ সম্পর্কে উদ্বিগ্ন নই। আমি ইন্টারনেট থেকে আক্রমণগুলি নিয়ে আসার জন্য উদ্বিগ্ন। নন-ক্লায়েন্ট সংযোগে ইউআরপিএফ চালানোর কোনও উপায় নেই। হয় অসমमितিক রাউটিংই আদর্শ (যদি আপনার একাধিক বাস্তব লিঙ্ক থাকে), বা প্রতিটি রুট সেই সংযোগটি দেখায় (যদি আপনার কেবল একটি আসল লিঙ্ক থাকে)।
ডেভিড শোয়ার্জ

@ ডেভিডশওয়ার্টজ আমি আমার প্রতিক্রিয়াটি মুছে ফেলার সিদ্ধান্ত নিয়েছি। আমি বুঝতে পারি এটি আপনার ক্ষেত্রে খুব সহায়ক নয় তবে এটি অন্যদের জন্য উপকারী হতে পারে। আকর্ষণীয় কেস বিটিডব্লিউ - আমি অন্যান্য উত্তরগুলি সম্পর্কে আগ্রহী।
pQd

1

এই ডিভাইসগুলি এখনও সমর্থন চুক্তির আওতায় রয়েছে? যদি তা হয় তবে আপনার গ্রাহকদের সাথে যোগাযোগ করুন। তাদের জানতে দিন যে ইন্টারনেট গত দশকে কিছুটা বিকশিত হয়েছে এবং এই ডিভাইসগুলির জন্য নাম রেজোলিউশন সরবরাহ করতে চালিয়ে যেতে আপনার কাছে জিজ্ঞাসার আশা করতে এসআরসি আইপি জানতে হবে। ভবিষ্যতে একটি তারিখ ~ মাস নির্ধারণ করুন যে সময়ে আপনি আর অজানা ক্লায়েন্টদের পরিষেবা দিতে পারবেন না এবং এতে লেগে থাকবেন। ইন্ডাস্ট্রিতে এটি বেশ সাধারণ। যদি এই ডিভাইসগুলি আর কোনও সহায়তা চুক্তির আওতায় না থাকে ... তবে এটি ব্যবসায়ের সিদ্ধান্তের মতো মনে হচ্ছে। আপনার সংস্থা আর কতদিন ধরে রাজস্ব উৎপন্ন করে না এমন প্রাচীন পণ্যগুলিতে সম্পদ ব্যয় করার মনস্থ করে?

বিশেষায়িত ডিভাইসের মতো এই শব্দগুলি কী এগুলি এতটা বিশেষায়িত যে আপনি কোন ডোমেনগুলির জন্য বৈধ প্রশ্নের জন্য প্রত্যাশা যুক্তিসঙ্গতভাবে অনুমান করতে পারেন? বাইন্ড দর্শনগুলি সমর্থন করে, একটি সর্বজনীন দৃষ্টিভঙ্গি তৈরি করে যা কেবলমাত্র সেই ডোমেনগুলির জন্য পুনরাবৃত্তি করে।

এটিকে একটি শেখার সুযোগ হিসাবে ব্যবহার করুন, যদি আপনি ইতিমধ্যে এটি না করে থাকেন তবে এমন পণ্যগুলিকে মুক্তি দেওয়া বন্ধ করুন যেখানে আপনার বাগগুলি ঠিক করার ক্ষমতা নেই। এটাই হচ্ছে, একটি বাগ। একটি এটি অবশ্যই অযথা বা খুব শীঘ্রই সময়ের আগে এই ডিভাইসটি ইওএল করবে।


1
কিছু অন্যান্য উত্তর পড়া। আপনি বলছেন যে আপনি সত্যিই এমনকি কোনও প্যাচ বিকাশ করতে পারবেন না কারণ এটি পরীক্ষা করার মতো হার্ডওয়্যার আপনার কাছে আর নেই। এটি হ'ল, আপনার বর্তমান সমর্থন চুক্তিগুলির যে কোনওভাবে বৈধ? এই 'সমর্থিত' ডিভাইসগুলির মধ্যে একটির যদি হার্ডওয়্যার ব্যর্থতা অনুভব হয় তবে আপনি কী করবেন? এখানে একই জিনিস।
জেসন প্রেস্টন

আমরা হার্ডওয়্যারকে সমর্থন করি না। এমনকি আমাদের হার্ডওয়্যারটি স্পর্শ করার অনুমতি নেই । হার্ডওয়্যার ব্যর্থ হলে, এটি ধ্বংস এবং প্রতিস্থাপন করা হয়েছে। আমরা রিমোট অবকাঠামো সমর্থন করছি, এবং চুক্তি করে 2015 পর্যন্ত এটি করতে হবে ( আর সম্ভব সরকারগুলো সঙ্গে তার আচরণ পেতে কারণ অনুমোদন মান মেয়াদ শেষ হয়ে গেছে
ডেভিড শোয়ার্জ

1

কোথাও ন্যানোগ থেকে, এটি:

iptables -A INPUT -p udp --dport 53 -m hashlimit \
--hashlimit-name DNS --hashlimit-above 20/second --hashlimit-mode srcip \
--hashlimit-burst 100 --hashlimit-srcmask 28 -j DROP 

এটি আদর্শ নয়। প্রতি সেকেন্ডে কম প্যাকেট দেওয়ার অনুমতি দেওয়া আরও ভাল এবং এর চেয়ে বেশি ফাটল।


-1

এখানে একটি সমাধান যা আমি ডিডিওএস আক্রমণগুলির বিরুদ্ধে কয়েকবার ব্যবহার করেছি, এটি নিখুঁত নয় তবে আমাকে সাহায্য করেছে। সমাধানটি এমন একটি স্ক্রিপ্টের অন্তর্ভুক্ত যা ক্রোন দ্বারা প্রতিটি এন মিনিট (যেমন 1,2,3 ইত্যাদি মিনিট) বলা হয়ে থাকে এবং আইপি এর ব্লক করে যা স্ক্রিপ্টের প্রদত্ত একটিটির পরে অনেকগুলি সংযোগ তৈরি করে দেয়:

#!/bin/sh

PORT_TO_CHECK="53"
CONNECTION_LIMIT="20"
IPTABLES="/sbin/iptables"

netstat -an > /tmp/netstat.tmp
Buf_var1=`cat /tmp/netstat.tmp | grep -v "LISTEN"| grep ":$PORT_TO_CHECK\ " | grep -v "0.0.0.0" | awk '{print $5}' | grep -v ":$PORT_TO_CHECK$" | sed -e 's/^::ffff://g' -e 's/:.*$//g' | sort | uniq`
i=0
banned_flag=0
for conn in `for i in $Buf_var1; do echo -n "$i "; cat /tmp/netstat.tmp | grep -c $i;done | grep -v "=\ 0"`;do
[ $i = 0 ] && connip=$conn && i=1
[ $i = 2 ] && {
connum=$conn
[ $connum -ge $CONNECTION_LIMIT ] && {
[ "$var_test" = "" ] && {
$IPTABLES -I INPUT -s $connip -j DROP
banned_flag=1
}
}
}
[ $banned_flag = 1 ] && i=0
[ $i = 1 ] && i=2
done
rm -f /tmp/netstat.tmp

3
আমি মনে করি এটি কার্যকর হবে না: ডিএনএস হ'ল ইউডিপি-র মাধ্যমে অনুরোধ / জবাব দেওয়া এবং খোলা সংযোগগুলি ছেড়ে যাবেন না।
bortzmeyer
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.