Bug 30398 - [DNS Amplification Attacks] Включить поддержку DNS RRL (доступно, начиная с 9.9.4 и 9.10.x)
: [DNS Amplification Attacks] Включить поддержку DNS RRL (доступно, начиная с 9...
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/bind)
: unstable
: all Linux
: P3 normal
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2014-10-14 11:35 by
Modified: 2014-11-27 15:32 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2014-10-14 11:35:10
Вот эта вот штука http://www.redbarn.org/dns/ratelimits появилась в 9.10.0a1 и
попала в релиз 9.10. На текущий момент есть уже 9.10.1. Видимо, одновременно,
стоит задействовать этот механизм в конфиге.

Вот в этой вот презентации 
https://conference.apnic.net/data/37/apricot-2014-rrl_1393309768.pdf
предлагают такой конфиг:

rate-limit {
  slip 2;                  // Every other response truncated
  window 15;               // Seconds to bucket
  responses-per-second 5;  // # of good responses per prefix-length/sec
  referrals-per-second 5;  // referral responses
  nodata-per-second 5;     // nodata responses
  nxdomains-per-second 5;  // nxdomain responses
  errors-per-second 5;     // error responses
  all-per-second 20;       // When we drop all

  log-only no;             // Debugging mode
  qps-scale 250;           // x / 1000 * per-second
                           // = new drop limit
  exempt-clients { 127.0.0.1; };
  ipv4-prefix-length 24;    // Define the IPv4 block size
  ipv6-prefix-length 56;    // Define the IPv6 block size

  max-table-size 20000;     // 40 bytes * this number = max memory
  min-table-size 500;       // pre-allocate to speed startup
};

Хотя, вроде бы, часть параметров такие по-умолчанию.
------- Comment #1 From 2014-10-14 11:55:27 -------
*** Bug 29573 has been marked as a duplicate of this bug. ***
------- Comment #2 From 2014-10-14 15:18:24 -------
Оказывается, её и в 9.9.4 добавили:

BIND 9.9.4

        BIND 9.9.4 is a maintenance release, and patches the security
        flaws described in CVE-2013-3919 and CVE-2013-4854. It also
        introduces DNS Response Rate Limiting (DNS RRL) as a
        compile-time option. To use this feature, configure with
        the "--enable-rrl" option.

То есть, надо просто включить при сборке, а до 9.10 можно и не обновлять.
------- Comment #3 From 2014-11-27 15:32:44 -------
bind-9.9.6-alt1 -> sisyphus:

* Tue Nov 18 2014 Fr. Br. George <george@altlinux> 9.9.6-alt1
- Update to ftp://ftp.isc.org/isc/bind9/9.9.6/bind-9.9.6.tar.gz
- Fix old style autoheader AC_DEFINE
- Enable ratelimits (Closes: #30398)
- Provide initial rndc_keygen (Closes: #28034)

* Mon Oct 06 2014 Fr. Br. George <george@altlinux> 9.9.5-alt3
- Build with GSSAPI

* Tue Jun 17 2014 Fr. Br. George <george@altlinux> 9.9.5-alt2
- Updated to ftp://ftp.isc.org/isc/bind9/9.9.5-P1/bind-9.9.5-P1.tar.gz