Исходное сообщение
"Bind. Drop вместо refuse" Отправлено PavelR, 07-Авг-20 11:29
>> смысл - ботнеты которые ддосят через днс-усилители высканять хост через день, а >> рекурсивыные халявщики и так быстро поймут что халява кончилась )))) > ну попробуют высканить этот хост - так смысл? хост то уже не > работает как усилитель. В общем после устранения проблемы ботнет продолжает слать поддельные пакеты, хотя сервер отвечает пакетами такого же размера, как и полученные. Меня эт маленько заколебало, поэтому патч: https://superuser.com/questions/1565547/have-bind9-drop-non-... https://serverfault.com/questions/438515/bind-blackhole-for-... ``` --- bind9-9.9.5.dfsg/bin/named/query.c.orig        Thu Aug  6 21:56:57 2020 +++ bind9-9.9.5.dfsg/bin/named/query.c     Thu Aug  6 22:08:15 2020 @@ -1038,7 +1038,7 @@                                          sizeof(msg));                         ns_client_log(client, DNS_LOGCATEGORY_SECURITY,                                       NS_LOGMODULE_QUERY, ISC_LOG_INFO, -                                     "%s denied", msg); +                                     "%s dropped", msg);                 }                 /*                  * We've now evaluated the view's query ACL, and @@ -5809,8 +5809,9 @@                         } else                                 inc_stats(client, dns_nsstatscounter_authrej);                         if (!PARTIALANSWER(client)) -                               QUERY_ERROR(DNS_R_REFUSED); -               } else +               //              QUERY_ERROR(DNS_R_REFUSED); +                               QUERY_ERROR(DNS_R_DROP); +               } else                         QUERY_ERROR(DNS_R_SERVFAIL);                 goto cleanup;         } # diff -u query.c.orig query.c ``` Проверено на 9.9, 9.10 версиях.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>> смысл - ботнеты которые ддосят через днс-усилители высканять хост через день, а >>> рекурсивыные халявщики и так быстро поймут что халява кончилась )))) >> ну попробуют высканить этот хост - так смысл? хост то уже не >> работает как усилитель. > В общем после устранения проблемы ботнет продолжает слать поддельные пакеты, хотя сервер > отвечает пакетами такого же размера, как и полученные. > Меня эт маленько заколебало, поэтому патч: > https://superuser.com/questions/1565547/have-bind9-drop-non-authorative-queries/1575735#1575735 > https://serverfault.com/questions/438515/bind-blackhole-for-invalid-recursive-queries/1029128#1029128 > ``` > --- bind9-9.9.5.dfsg/bin/named/query.c.orig Thu Aug > 6 21:56:57 2020 > +++ bind9-9.9.5.dfsg/bin/named/query.c Thu Aug 6 22:08:15 2020 > @@ -1038,7 +1038,7 @@ > > > > sizeof(msg)); > > > ns_client_log(client, DNS_LOGCATEGORY_SECURITY, > > > > NS_LOGMODULE_QUERY, ISC_LOG_INFO, > - > > > "%s denied", msg); > + > > > "%s dropped", msg); > > } > > /* > > * We've now evaluated the view's > query ACL, and > @@ -5809,8 +5809,9 @@ > > > } else > > > inc_stats(client, dns_nsstatscounter_authrej); > > > if (!PARTIALANSWER(client)) > - > > QUERY_ERROR(DNS_R_REFUSED); > - > } else > + > // > QUERY_ERROR(DNS_R_REFUSED); > + > > QUERY_ERROR(DNS_R_DROP); > + > } else > > > QUERY_ERROR(DNS_R_SERVFAIL); > > goto cleanup; > } > # diff -u query.c.orig query.c > ``` > Проверено на 9.9, 9.10 версиях.
	Введите код, изображенный на картинке: