Недавно я обнаружил, что мой сервер использовался как часть DNS DDOS. По сути, моя установка BIND допускала рекурсию, и она использовалась для атаки на определенный IP-адрес с использованием IP-спуфинга.
Я принял необходимые меры, чтобы остановить это, и отключил рекурсию. Я больше не усилитель, что, как я полагаю, решает большую проблему, но я все еще получаю массовые запросы, и BIND отвечает «отказано» на все из них.
Мне просто интересно узнать, могу ли я еще что-нибудь сделать. Я подумал, что могу настроить fail2ban, чтобы заблокировать их, делая что-то похожее на рекомендации Debian, но согласно другим веб-сайтам и разумной логике, это не идеально, поскольку злоумышленник может легко заставить меня заблокировать любой IP-адрес для доступа к моему серверу.
Так что еще можно сделать? Или мне просто подождать, пока нападавшие сдадутся? Или надеяться, что они могут повторно просканировать и исключить меня из списка усилителя?
По сути, настройка fail2ban, описанная в связанной статье, изменяет брандмауэр на DROP (в течение ограниченного времени) входящих DNS-запросов с исходных IP-адресов, которым не разрешено запрашивать ваш DNS-сервер. Неплохая идея, но если вы не предоставляете авторитетный DNS для одного или нескольких доменов в Интернете, то почему бы не забыть о fail2ban и просто отбросить все входящие DNS-запросы из Интернета?
если ты являются Если вы используете авторитетный DNS-сервер, то, к сожалению, вы не можете позволить себе игнорировать DNS-запросы. В этом случае я не думаю, что у вас есть большой выбор, кроме как оставить все как есть (рекурсия отключена) и терпеливо ждать постепенного снижения входящего поддельного трафика. Конечно, было бы неплохо иметь возможность настроить bind, чтобы молча игнорировать запросы, на которые он настроен не отвечать, но я не думаю, что у него есть такая функция. (В конце концов, такое поведение технически нарушает протокол DNS.) Fail2ban действительно предоставляет некоторую альтернативу, но, как вы отметили, это не идеально.