Я хотел бы настроить DNS-сервер для использования ограничения скорости ответа (RRL) для смягчения атак DNS DDoS. Как бы то ни было, я должен настроить его для использования RRL с параметром 'slip' на 2.
Я немного поискал, но не нашел ничего толкового по этому параметру. Единственное, что я нашел, - это "на сколько запросов UDP можно ответить усеченным ответом."и это"установка на "2" означает, что каждый второй запрос получит короткий ответ". Источник: https://conference.apnic.net/data/37/apricot-2014-rrl_1393309768.pdf (слайд 26)
Что это значит? Если DNS-сервер получит 3 UDP-запроса, последний будет усечен? Но как долго?
В slip Параметр влияет на способ обработки ответов с ограниченной скоростью. Скажем, например, 8 ответов будут ограничены по скорости. По умолчанию slip=2, 4 из этих ответов (каждый второй) будут усеченными ответами, а 4 просто не будут отправлены. С участием slip=0, ответы отправляться не будут. с участием slip=1, Будет отправлено 8 усеченных ответов. с участием slip=4, Будут отправлены 2 усеченных ответа.
По сути, проскальзывание позволяет некоторым ответам пройти («проскочить»), если в противном случае они были бы заблокированы RRL.
Больше информации от официального BIND9.10 ARM Раздел 6.2.16.21 «Ограничение скорости ответа»:
Многие атаки с использованием DNS включают UDP-запросы с поддельными адресами источника. Ограничение скорости предотвращает использование BIND 9 для наводнения сети ответами на запросы с поддельными адресами источника, но может позволить третьей стороне блокировать ответы на легитимные запросы. Существует механизм, который может отвечать на некоторые законные запросы от клиента, адрес которого подделывается во время флуда. Установка Slip на 2 (по умолчанию) приводит к тому, что на каждый другой запрос UDP будет дан небольшой усеченный (TC = 1) ответ. Небольшой размер и пониженная частота, а следовательно, отсутствие усиления «скользящих» ответов делают их непривлекательными для отражения DoS-атак. slip должно быть от 0 до 10. Значение 0 не «сползает»: усеченные ответы не отправляются из-за ограничения скорости, все ответы отбрасываются. Значение 1 приводит к сбою каждого ответа; значения от 2 до 10 приводят к сбою каждого n-го ответа. Некоторые ответы об ошибках, включая REFUSED и SERVFAIL, не могут быть заменены усеченными ответами, и вместо этого происходит утечка со скоростью скольжения.