30398 2014-10-14 11:35:10 +0400 [DNS Amplification Attacks] Включить поддержку DNS RRL (доступно, начиная с 9.9.4 и 9.10.x) 2014-11-27 15:32:44 +0300 1 1 4 Development Sisyphus bind unstable all Linux CLOSED FIXED P3 normal --- 1 asy placeholder evg george glebfm ldv mike placeholder sem slev vt qa-sisyphus oldest_to_newest 148105 0 asy 2014-10-14 11:35:10 +0400 Вот эта вот штука http://www.redbarn.org/dns/ratelimits появилась в 9.10.0a1 и попала в релиз 9.10. На текущий момент есть уже 9.10.1. Видимо, одновременно, стоит задействовать этот механизм в конфиге. Вот в этой вот презентации https://conference.apnic.net/data/37/apricot-2014-rrl_1393309768.pdf предлагают такой конфиг: rate-limit { slip 2; // Every other response truncated window 15; // Seconds to bucket responses-per-second 5; // # of good responses per prefix-length/sec referrals-per-second 5; // referral responses nodata-per-second 5; // nodata responses nxdomains-per-second 5; // nxdomain responses errors-per-second 5; // error responses all-per-second 20; // When we drop all log-only no; // Debugging mode qps-scale 250; // x / 1000 * per-second // = new drop limit exempt-clients { 127.0.0.1; }; ipv4-prefix-length 24; // Define the IPv4 block size ipv6-prefix-length 56; // Define the IPv6 block size max-table-size 20000; // 40 bytes * this number = max memory min-table-size 500; // pre-allocate to speed startup }; Хотя, вроде бы, часть параметров такие по-умолчанию. 148109 1 asy 2014-10-14 11:55:27 +0400 *** Bug 29573 has been marked as a duplicate of this bug. *** 148118 2 asy 2014-10-14 15:18:24 +0400 Оказывается, её и в 9.9.4 добавили: BIND 9.9.4 BIND 9.9.4 is a maintenance release, and patches the security flaws described in CVE-2013-3919 and CVE-2013-4854. It also introduces DNS Response Rate Limiting (DNS RRL) as a compile-time option. To use this feature, configure with the "--enable-rrl" option. То есть, надо просто включить при сборке, а до 9.10 можно и не обновлять. 149044 3 repository-robot 2014-11-27 15:32:44 +0300 bind-9.9.6-alt1 -> sisyphus: * Tue Nov 18 2014 Fr. Br. George <george@altlinux> 9.9.6-alt1 - Update to ftp://ftp.isc.org/isc/bind9/9.9.6/bind-9.9.6.tar.gz - Fix old style autoheader AC_DEFINE - Enable ratelimits (Closes: #30398) - Provide initial rndc_keygen (Closes: #28034) * Mon Oct 06 2014 Fr. Br. George <george@altlinux> 9.9.5-alt3 - Build with GSSAPI * Tue Jun 17 2014 Fr. Br. George <george@altlinux> 9.9.5-alt2 - Updated to ftp://ftp.isc.org/isc/bind9/9.9.5-P1/bind-9.9.5-P1.tar.gz