https://opennet.ru/openforum/vsluhforumID1/93973.html Здравствуйте!<br>Подскажите, можно ли настроить bind игнорировать запросы?<br>Сейчас использую allow-query { mynet; }<br>но на все остальные запросы он отвечает REFUSE. А хотелось бы что бы он их игнорировал.<br>Для этой цели подходит blackhole, но если загнать туда все адреса, например !mynet - то он перестанет работать вобще, тк не будет посылать никаких запросов никому, кто не входит в mynet.<br> https://opennet.ru/openforum/vsluhforumID1/93973.html#9 Fri, 07 Aug 2020 08:29:13 GMT &gt;&gt; смысл - ботнеты которые ддосят через днс-усилители высканять хост через день, а <br>&gt;&gt; рекурсивыные халявщики и так быстро поймут что халява кончилась )))) <br>&gt; ну попробуют высканить этот хост - так смысл? хост то уже не <br>&gt; работает как усилитель.<br><br>В общем после устранения проблемы ботнет продолжает слать поддельные пакеты, хотя сервер отвечает пакетами такого же размера, как и полученные.<br><br>Меня эт маленько заколебало, поэтому патч:<br><br>https://superuser.com/questions/1565547/have-bind9-drop-non-authorative-queries/1575735#1575735<br>https://serverfault.com/questions/438515/bind-blackhole-for-invalid-recursive-queries/1029128#1029128<br><br><br>```<br>--- bind9-9.9.5.dfsg/bin/named/query.c.orig Thu Aug 6 21:56:57 2020<br>+++ bind9-9.9.5.dfsg/bin/named/query.c Thu Aug 6 22:08:15 2020<br>@@ -1038,7 +1038,7 @@<br> sizeof(msg));<br> ns_client_log(client, DNS_LOGCATEGORY_SECURITY,<br> NS_LOGMODULE_QUERY, ISC_LOG_INFO, https://opennet.ru/openforum/vsluhforumID1/93973.html#8 Wed, 31 Oct 2012 09:46:37 GMT &gt; вариант третий - лимитить пакеты на 53 UDP фареволом (bind не помню умеет сам лимитить запросы или нет)<br><br>Насколько я помню - умеет. Наверное остановлюсь на этом варианте.<br>Спасибо за ответы.<br><br><br>ПС<br>&gt; т.е. ты пытаешься одновременно решить две абсолютно противоположные задачи 1) держать авторитативный сервер (т.е. он должен быть доступен для всех) 2) сделать blackhole (закрыть &gt; для всех) пора бы уже это понять<br><br>Это вовсе не противоположные вещи, тк авторитетным должен он быть только для определенных зон, а blackhole для остальных запросов. Просто я предполагал что есть такая возможность.<br>Кстати, вариант с двумя view тоже довольно заманчив, подумаю что с ним можно сделать.<br> https://opennet.ru/openforum/vsluhforumID1/93973.html#7 Wed, 31 Oct 2012 05:16:07 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; вариант второй поглумится - настраиваешь 2 view <br>&gt;&gt;&gt; 1) для своих клиентов: нормальный для резолвинга + свои авторитативные зоны <br>&gt;&gt;&gt; 2) для внешного мира: свои авторитативные зоны + делаешь заглушки на все <br>&gt;&gt;&gt; широкоиспользуемые домены и отдаешь на любые запросы адресок какого нибудь порносайта.<br>&gt;&gt;&gt; вариант третий - лимитить пакеты на 53 UDP фареволом (bind не помню <br>&gt;&gt;&gt; умеет сам лимитить запросы или нет) <br>&gt;&gt; вариант четвертый - сменить IP и хостнейм сервера, произвести коррекцию делегирования размещенных <br>&gt;&gt; на сервере зон.<br>&gt; смысл - ботнеты которые ддосят через днс-усилители высканять хост через день, а <br>&gt; рекурсивыные халявщики и так быстро поймут что халява кончилась )))) <br><br>ну попробуют высканить этот хост - так смысл? хост то уже не работает как усилитель.<br> https://opennet.ru/openforum/vsluhforumID1/93973.html#6 Wed, 31 Oct 2012 05:14:51 GMT <br>&gt; Сейчас блокирую такие запросы фаерволом. Можно настроить fail2ban, но мне кажется было <br>&gt; бы проще всего что бы он дропал такие запросы.<br>&gt; Ответ refuse по моему плох тем, что судя по логам его игнорируют <br>&gt; и продолжают слать запросы, а сервер на ответ тратит свои ресурсы. <br><br>fail2ban может и не помочь, если используется spoofing (или как там оно по аглицки-то пишется). Поэтому же будут игнорироваться и ответы от вашего сервера.<br><br><br> https://opennet.ru/openforum/vsluhforumID1/93973.html#5 Wed, 31 Oct 2012 05:13:22 GMT &gt;[оверквотинг удален]<br>&gt;&gt; вариант первый - рефузить и забыть (ripe.net - это не тебя скорее <br>&gt;&gt; ддосят а райпы, ты как усилитель используешься) <br>&gt;&gt; вариант второй поглумится - настраиваешь 2 view <br>&gt;&gt; 1) для своих клиентов: нормальный для резолвинга + свои авторитативные зоны <br>&gt;&gt; 2) для внешного мира: свои авторитативные зоны + делаешь заглушки на все <br>&gt;&gt; широкоиспользуемые домены и отдаешь на любые запросы адресок какого нибудь порносайта.<br>&gt;&gt; вариант третий - лимитить пакеты на 53 UDP фареволом (bind не помню <br>&gt;&gt; умеет сам лимитить запросы или нет) <br>&gt; вариант четвертый - сменить IP и хостнейм сервера, произвести коррекцию делегирования размещенных <br>&gt; на сервере зон.<br><br>смысл - ботнеты которые ддосят через днс-усилители высканять хост через день, а рекурсивыные халявщики и так быстро поймут что халява кончилась ))))<br><br><br> https://opennet.ru/openforum/vsluhforumID1/93973.html#4 Wed, 31 Oct 2012 05:08:34 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Ответ refuse по моему плох тем, что судя по логам его игнорируют <br>&gt;&gt; и продолжают слать запросы, а сервер на ответ тратит свои ресурсы.<br>&gt; вариант первый - рефузить и забыть (ripe.net - это не тебя скорее <br>&gt; ддосят а райпы, ты как усилитель используешься) <br>&gt; вариант второй поглумится - настраиваешь 2 view <br>&gt; 1) для своих клиентов: нормальный для резолвинга + свои авторитативные зоны <br>&gt; 2) для внешного мира: свои авторитативные зоны + делаешь заглушки на все <br>&gt; широкоиспользуемые домены и отдаешь на любые запросы адресок какого нибудь порносайта. <br>&gt; вариант третий - лимитить пакеты на 53 UDP фареволом (bind не помню <br>&gt; умеет сам лимитить запросы или нет) <br><br>вариант четвертый - сменить IP и хостнейм сервера, произвести коррекцию делегирования размещенных на сервере зон.<br><br>вариант пятый - сменить bind на сервер, который умеет требуемую функцию<br><br> https://opennet.ru/openforum/vsluhforumID1/93973.html#3 Wed, 31 Oct 2012 05:02:32 GMT &gt; Спасибо за ответ, но этот вариант не совсем подходит.<br>&gt; ДНС сервер отвечает за несколько зон, поэтому он должен отвечать на запросы <br>&gt; извне.<br><br>т.е. ты пытаешься одновременно решить две абсолютно противоположные задачи 1) держать авторитативный сервер (т.е. он должен быть доступен для всех) 2) сделать blackhole (закрыть для всех)<br>пора бы уже это понять<br><br>&gt; Для каждой зоны прописано allow-query { any; }; <br>&gt; А в опциях указано allow-query { mynet; } <br>&gt; Таким образом он отвечает на запросы для зон, за которые отвечает сам, <br>&gt; и на рекурсивные запросы с моих сетей. Всем остальным он отвечает <br>&gt; refuse.<br><br>ну дак а blackhole это глобальный параметр, и как я понимаю твои allow-query не работают<br><br>&gt; Но я вижу что часто к серверу обращаются с разными рекурсивными запросами. <br>&gt; Видимо тк он долгое время был открыт кто-то им воспользовался. Еще <br>&gt; периодически подвергаюсь атакам типа запрос зоны ANY/ripe.net с дикой частотой.<br>&gt; Сейчас блокирую такие запросы фаерволом. Можно настроить fail2ban, но мне каже https://opennet.ru/openforum/vsluhforumID1/93973.html#2 Wed, 31 Oct 2012 04:30:37 GMT Спасибо за ответ, но этот вариант не совсем подходит.<br>ДНС сервер отвечает за несколько зон, поэтому он должен отвечать на запросы извне.<br>Для каждой зоны прописано allow-query { any; };<br>А в опциях указано allow-query { mynet; }<br>Таким образом он отвечает на запросы для зон, за которые отвечает сам, и на рекурсивные запросы с моих сетей. Всем остальным он отвечает refuse.<br>Но я вижу что часто к серверу обращаются с разными рекурсивными запросами. Видимо тк он долгое время был открыт кто-то им воспользовался. Еще периодически подвергаюсь атакам типа запрос зоны ANY/ripe.net с дикой частотой. <br>Сейчас блокирую такие запросы фаерволом. Можно настроить fail2ban, но мне кажется было бы проще всего что бы он дропал такие запросы.<br>Ответ refuse по моему плох тем, что судя по логам его игнорируют и продолжают слать запросы, а сервер на ответ тратит свои ресурсы.<br><br><br><br> https://opennet.ru/openforum/vsluhforumID1/93973.html#1 Tue, 30 Oct 2012 13:48:28 GMT &gt; Здравствуйте!<br>&gt; Подскажите, можно ли настроить bind игнорировать запросы?<br>&gt; Сейчас использую allow-query { mynet; } <br>&gt; но на все остальные запросы он отвечает REFUSE. А хотелось бы что <br>&gt; бы он их игнорировал.<br>&gt; Для этой цели подходит blackhole, но если загнать туда все адреса, например <br>&gt; !mynet - то он перестанет работать вобще, тк не будет посылать <br>&gt; никаких запросов никому, кто не входит в mynet.<br><br>blackhole Specifies a list of addresses that the server will not accept queries from or use to resolve a<br>query. Queries from these addresses will not be responded to. The default is none.<br><br>ну собстна все верно :)<br>чем плох ответ refuse?<br><br>попробуй прописать форвадерами днс провайдера, включи форвард онли, исключи форвардеров из блекхоул<br><br>есть еще и фаревол<br>