প্রতি সেকেন্ড এবং উইন্ডোতে প্রতিক্রিয়াগুলির জন্য DNS রেট-সীমা এবং মানকে বাঁধুন

আমার ডিএনএস সার্ভারে নামযুক্ত.কনফ আমি দেখতে পাচ্ছি

    rate-limit {
            responses-per-second 5;
            window 5;
    };

এর আসলে কী অর্থ? এবং এটি ডিএনএস ক্লায়েন্টদের সমস্যার কারণ হতে পারে? এটি কি খুব কড়া একটি কনফিগারেশন?

এটি কোনও একক ডিএনএস ক্লায়েন্ট একটি সেকেন্ডে পেতে পারে এমন অভিন্ন প্রতিক্রিয়ার সংখ্যা সীমিত করে। window 5বিকল্প 5 * 5 প্রতিক্রিয়া একটি ব্রাস্ট পারেন।

"আইডেন্টিকাল রেসপন্স" এবং "একক ডিএনএস ক্লায়েন্ট" এখানে কিছুটা অ-স্পষ্ট শর্তাবলী, আরও তথ্যের জন্য এটি পড়ুন: http://web.archive.org/web/20140209100744/http://ss.vix.su/~ vjs / rl-arm.html ।

সাধারণত রেট-সীমাবদ্ধকরণের পক্ষে ভাল জিনিস - কোনও দিন কোনও ডস আক্রমণ করার ক্ষেত্রে আপনাকে সহায়তা করতে পারে। ডিফল্ট বেশিরভাগ ক্ষেত্রে ঠিক থাকা উচিত।

BIND 9.9 এর জন্য প্রশাসকের রেফারেন্স ম্যানুয়ালটি আপনার পড়া উচিত ।

মূলত, responses-per-secondপ্রতি সেকেন্ডে একটি একক গন্তব্যে প্রেরণ করা যায় এমন অভিন্ন উত্তরগুলির সংখ্যা। সংজ্ঞাগুলি জটিল।

একটি একক গন্তব্য হ'ল নেটওয়ার্ক অ্যাড্রেসগুলির একটি ব্লক যা আকারে প্রযোজ্য ipv4-prefix-lengthবা ipv6-prefix-lengthহিসাবে প্রযোজ্য of সুতরাং, যদি ipv4-prefix-length24 হয়, এবং উভয় 192.0.2.1এবং 192.0.2.2DNS সার্ভার অনুসন্ধান করছে, তারা এই কোটা ভাগ করবে এবং শুধুমাত্র তাদের দুজনের মধ্যে অনেক প্রশ্নের পাঠাতে পারেন।

সনাক্তকারী জবাব হ'ল নির্দিষ্ট অস্তিত্বের নামের জন্য বা কোনও অস্তিত্বের নামের জন্য কোনও নির্দিষ্ট আরআর টাইপের প্রশ্নের জন্য জবাব। নিম্নলিখিত প্রশ্নগুলি সমস্ত স্বতন্ত্র:

IN A example.net.
IN A www.example.net.
IN AAAA example.net.
IN A nonexistent.domain.example.net.

যাইহোক, নিম্নলিখিত প্রশ্নের সমস্তগুলি অভিন্ন (ধরে নেওয়া nonexistent.domain.example.net.ইত্যাদি তাদের নামের সাথে জড়িত ):

IN A nonexistent.domain.example.net.
IN A nonexistent.domain2.example.net.
IN SOA other.nonexistent.domain.example.net.

windowজিনিসগুলিকে আরও কিছুটা জটিল করে তোলে। এটি সেকেন্ডের সংখ্যা যার জন্য কোটা ব্যাংক করা যায়। গুণমান windowএবং responses-per-secondসর্বাধিক দেয় যার দ্বারা কোনও কোটা ইতিবাচক হতে পারে, বা আরও মূল শর্তে, বিস্ফোরণ ক্ষমতা।

একটি ক্যাচ-সব উদাহরণ দিতে:

আপনি ননক্রিসিং, প্রামাণ্য নেমসার্ভার example.net.। কল্পনা করুন যে গত 10 সেকেন্ডে কোনও ডিএনএস ট্র্যাফিক দেখা যায়নি এবং প্রশ্নের কনফিগারেশনটি বিশ্বব্যাপী প্রযোজ্য। নিম্নলিখিত ঘটনাগুলি ধারাবাহিকভাবে ঘটে:

1. হোস্ট 198.51.100.1 এর জন্য 100 টি প্রশ্নের পাঠায় IN NS example.net.। 25 এর অনুমতি দেওয়া হবে এবং বাকি 75 টি উপেক্ষা করা হবে।
2. হোস্ট 198.51.100.1 এর জন্য 100 টি প্রশ্নের পাঠায় IN A nonexistent.example.net.। 25 এর অনুমতি দেওয়া হবে এবং বাকি 75 টি উপেক্ষা করা হবে।
3. হোস্ট 198.51.100.1 এর জন্য 1 টি ক্যোয়ারী প্রেরণ IN MX nonexistent-domain.example.net. করেছে কারণ অস্তিত্বশীল ডোমেনগুলির সীমাটি পৌঁছে যাওয়ার কারণে এটি এড়ানো হবে।
4. হোস্ট 198.51.100.1 এর জন্য 1 টি ক্যোয়ারী প্রেরণ করে IN A example.net.। এটা অনুমোদিত.
5. 192.0.2.1 থেকে 192.0.2.150 এর মধ্যে 192.0.2.1 এর হোস্টগুলি প্রত্যেকের জন্য একটি একক কোয়েরি প্রেরণ করে IN NS example.net.। তাদের 25 টি উত্তর পেয়েছে এবং 25 টি উপেক্ষা করা হবে; 198.51.100.0/24 এর কোটা এই হোস্টগুলির জন্য প্রযোজ্য নয়, তবে তারা 192.0.2.0/24 এর জন্য কোটা ভাগ করে।
6. এক সেকেন্ড পাস
7. 192.0.2.250 এর মধ্য দিয়ে 192.0.2.26 এর মাধ্যমে হোস্টগুলি তাদের প্রশ্নের পুনরাবৃত্তি করুন IN NS example.net.। তাদের মধ্যে 5 টি উত্তর পেয়ে থাকে এবং বাকি 20 টি উপেক্ষা করা হয়, যেহেতু কোটা প্রতি সেকেন্ডে 5 টি কোয়েরি দ্বারা কেবল পুনরায় পূরণ করা হয়।

iptables -A INPUT -p udp --dport 53 -m recent --set --name dnslimit
iptables -A INPUT -p udp --dport 53 -m recent --update --seconds 60 --hitcount 11 --name dnslimit -j DROP 

আইপেটেবলগুলি পাশাপাশি কাজ করতে পারে। কোনও আক্রমণ পাওয়া গেলে ট্র্যাফিক পুরোপুরি পরিষেবা থেকে দূরে রাখে।

আমি সীমাবদ্ধতা রেট করা ভাল ধারণা বলে মনে করি না, নিজেকে জিজ্ঞাসা করুন: আপনি কি ওয়েবসভার প্রতিক্রিয়াগুলিকেও সীমাবদ্ধ করেন? আপনি কী ভাবেন যে ডিএনএস প্রতিক্রিয়াগুলি ওয়েব সার্ভার প্রতিক্রিয়াগুলির চেয়ে কম গুরুত্বপূর্ণ?
এমনকি আপনি যদি সীমাটি রেট করেন তবেও এটি 5 রেখা / সেকেন্ড খুব কম শোনায়।