Bind named 9 ограничение запросов
Здравствуйте !
Сегодня речь пойдет об ограничении запросов к DNS серверу средствами самого DNS сервера )
что мы имеем BIND 9.10.1-P1.
что мы хотим сделать ?) ограничить количество запросов от тех нехороших товарищей которые хотят уложить нам DNS сервер и тем самым лишить нас привычного вида интернета )) по факту это спасет отца русской демократии от DDoS или например скажем DNS amplification attack !
Оговорюсь сразу что режима работы данной фичи есть 2 можно либо дропать запросы от «клиентов» либо записывать их в лог без дропов.
Что юзать выбирать вам я же покажу лишь принципы по которым настроить это все хозяйство :
вариант с дропами :
нужно записать в секции options добавляется секция «rate-limit» с ограничением на количество ответов от DNS сервера в секунду.
options {
rate-limit {
responses-per-second 25;
window 5;
};
};
вариант без дропов с записью в лог:
нужно записать в секции options добавляется секция «rate-limit» с ограничением на количество ответов от DNS сервера в секунду.
rate-limit {
responses-per-second 25;
log-only yes;
};
На этом все 😉