Это Канонический вопрос об ограничении скорости в программном обеспечении сервера имен ISC BIND.
Недавно я услышал о функциях ограничения скорости BIND. В частности, DNS RRL становится все более распространенным явлением.
Я немного запуталась. В некоторых документах говорится, что эти функции не должны использоваться с рекурсивными DNS-серверами, но другие документы очень конкретно относятся к рекурсивной инфраструктуре DNS. Кто прав?
Хотя мне очень хотелось бы, чтобы ISC лучше документировала эти функции для пользователей с уровнем опыта ниже «эксперта», это принятие желаемого за действительное. Начиная с 9.11 существует две отдельные реализации ограничения скорости в BIND, и они нацелены на решение двух совершенно разных проблем.
Первая форма ограничения скорости: Ограничение скорости ответа DNS, обычно называемый DNS RRL. Вы можете узнать больше о спецификации Вот. Он реализуется несколькими авторитетными демонами серверов имен и не является специфическим для ISC BIND.
DNS RRL предназначен для защиты авторитетных DNS-серверов, но BIND не помешает вам активировать эту функцию на рекурсивных серверах. Многие пользователи натыкаются на связанные параметры в документации BIND и предполагают, что они предназначены для использования с рекурсивными DNS-серверами. Это не вариант. Не включайте это на рекурсивном сервере.
Если вы используете сервер, который предоставляет достоверные данные и рекурсии, вы все равно не должны этого делать. Запустив эту конфигурацию, вы приняли дополнительные проблемы, связанные с ней. Мы не можем вам с этим помочь.
Статья базы знаний ISC для кода fetchlimit BIND называется Рекурсивное ограничение скорости клиента в BIND 9.9.8 и 9.10.3, что сбивает с толку. Это не имеет ничего общего с DNS RRL.
В отличие от DNS RRL, код fetchlimit предназначен для решения стратегий атак DNS, которые заставляют рекурсивный сервер участвовать в атаках на авторитетные серверы. В частности, эти параметры предназначены для уменьшения количества одновременных запросов, которые ваш рекурсивный сервер будет делать к отдельным IP-адресам авторитетных DNS-серверов и / или отдельным доменам DNS. Это делает ваш сервер менее привлекательным для использования в атаках с псевдо-случайным поддоменом (против других), а также помогает ограничить влияние на ваши собственные DNS-серверы, когда они используются в такого рода атаках. (временное истощение порта и т. д.)
Хотя эти вопросы и ответы предназначены для того, чтобы помочь прояснить часто запутанные различия в коде ограничения скорости, предоставляемом ISC BIND, Ни одно из этих решений не является комплексным решением проблемы злоупотребления рекурсивным DNS-сервером. Только последний предназначен для использования с рекурсивным DNS-сервером, и даже в этом случае он предназначен для защиты от конкретной формы атаки, которая часто поражает операторов рекурсивных DNS-сред большого объема.
Если ваша рекурсивная среда DNS используется для атак других, функции ограничения скорости BIND - отвлекающий маневр. если только вы уже реализовали все остальные передовые практики. (не запускайте открытый преобразователь, избегайте интерфейсов с выходом в Интернет на рекурсивных DNS-серверах в целом, отбрасывайте трафик из неизвестных сетей до того, как он попадет на рекурсивный сервер и т. д.) Ограничение скорости - это добавляемая вами ценность в дополнении к ваши другие стратегии уменьшения злоупотреблений. Это не замена им.