Bug 30398

Summary: [DNS Amplification Attacks] Включить поддержку DNS RRL (доступно, начиная с 9.9.4 и 9.10.x)
Product: Sisyphus Reporter: Sergey Y. Afonin <asy>
Component: bindAssignee: placeholder <placeholder>
Status: CLOSED FIXED QA Contact: qa-sisyphus
Severity: normal    
Priority: P3 CC: evg, george, glebfm, ldv, mike, placeholder, sem, slev, vt
Version: unstable   
Hardware: all   
OS: Linux   

Description Sergey Y. Afonin 2014-10-14 11:35:10 MSK 
Вот эта вот штука http://www.redbarn.org/dns/ratelimits появилась в 9.10.0a1 и попала в релиз 9.10. На текущий момент есть уже 9.10.1. Видимо, одновременно, стоит задействовать этот механизм в конфиге.

Вот в этой вот презентации 
https://conference.apnic.net/data/37/apricot-2014-rrl_1393309768.pdf
предлагают такой конфиг:

rate-limit {
  slip 2;                  // Every other response truncated
  window 15;               // Seconds to bucket
  responses-per-second 5;  // # of good responses per prefix-length/sec
  referrals-per-second 5;  // referral responses
  nodata-per-second 5;     // nodata responses
  nxdomains-per-second 5;  // nxdomain responses
  errors-per-second 5;     // error responses
  all-per-second 20;       // When we drop all

  log-only no;             // Debugging mode
  qps-scale 250;           // x / 1000 * per-second
                           // = new drop limit
  exempt-clients { 127.0.0.1; };
  ipv4-prefix-length 24;    // Define the IPv4 block size
  ipv6-prefix-length 56;    // Define the IPv6 block size

  max-table-size 20000;     // 40 bytes * this number = max memory
  min-table-size 500;       // pre-allocate to speed startup
};

Хотя, вроде бы, часть параметров такие по-умолчанию.
Comment 1 Sergey Y. Afonin 2014-10-14 11:55:27 MSK 
*** Bug 29573 has been marked as a duplicate of this bug. ***
Comment 2 Sergey Y. Afonin 2014-10-14 15:18:24 MSK 
Оказывается, её и в 9.9.4 добавили:

BIND 9.9.4

        BIND 9.9.4 is a maintenance release, and patches the security
        flaws described in CVE-2013-3919 and CVE-2013-4854. It also
        introduces DNS Response Rate Limiting (DNS RRL) as a
        compile-time option. To use this feature, configure with
        the "--enable-rrl" option.

То есть, надо просто включить при сборке, а до 9.10 можно и не обновлять.
Comment 3 Repository Robot 2014-11-27 15:32:44 MSK 
bind-9.9.6-alt1 -> sisyphus:

* Tue Nov 18 2014 Fr. Br. George <george@altlinux> 9.9.6-alt1
- Update to ftp://ftp.isc.org/isc/bind9/9.9.6/bind-9.9.6.tar.gz
- Fix old style autoheader AC_DEFINE
- Enable ratelimits (Closes: #30398)
- Provide initial rndc_keygen (Closes: #28034)

* Mon Oct 06 2014 Fr. Br. George <george@altlinux> 9.9.5-alt3
- Build with GSSAPI

* Tue Jun 17 2014 Fr. Br. George <george@altlinux> 9.9.5-alt2
- Updated to ftp://ftp.isc.org/isc/bind9/9.9.5-P1/bind-9.9.5-P1.tar.gz