راه حل Recursive query attack چیست؟

**ehsan653** · 2015-01-15, 02:51 AM

سلام
چطور میشه اتک Recursive query رو رد کرد یا اینکه در میکروتیک چطور میشه این گزینه رو غیر فعال کرد.
ممنون میشم از متخصصین راهنمایی کنند

موضوعات مشابه:

**hadihadi2** · 2015-01-15, 04:19 AM

اصولا بهتره در سروری که سرویس dns داره یا با این سرویس در ارتباط هست این حملات مسدود بشه.. اینکار در لینوکس به راحتی قابل انجام هستت. من رول های iptables رو برای دفع این حمله برتون میزارم ولی اگه واقعا نیاز هست رو میکروتیک انجام بشه پورت 53 udp/tcp رو براش رول بنویسید و تعدا کوئری ها رو در بازه ی زمان محدود کنید یا اجازه بدید فقط ادرس های مجاز بتونن درخواست ارسال کنن

iptables -v -I INPUT 1 -p udp –dport 53 -m string –from 50 –algo bm –hex-string ‘|0000FF0001|’ -m recent –set –name dnsanyquery iptables -v -I INPUT 2 -p udp –dport 53 -m string –from 50 –algo bm –hex-string ‘|0000FF0001|’ -m recent –name dnsanyquery –rcheck –seconds 10 –hitcount 3 -j DROP
This allows two ANY queries from an IP over 10 seconds. You can adjust it any way you want. The above code inserts these rules into the first 2. You might also want to just use append and put these in early in the list.
iptables -v -A INPUT -p udp –dport 53 -m string –from 50 –algo bm –hex-string ‘|0000FF0001|’ -m recent –set –name dnsanyquery
iptables -v -A INPUT -p udp –dport 53 -m string –from 50 –algo bm –hex-string ‘|0000FF0001|’ -m recent –name dnsanyquery –rcheck –seconds 10 –hitcount 3 -j DROP
Is it working? You can test it as follows:
dig @dns.yourdomain.com isc.org ANY
It should word 2 times in a row and fail on the 3rd try. This will allow some diagnostic ANY queries but block the high volume DDOS attacks.
I also have some recursive name servers and I use them heavilly internally. But I also use them lightly externally. These name servers are still open to the world but I threw some rate limiting on them for external use. That way they can be open and yet not abused.
First you have to allow your own network full access:
iptables -v -A INPUT -t filter -s 192.168.1.0/24 -j ACCEPT
Then you rate limit other addresses:
iptables -v -A INPUT -p udp –dport 53 -m recent –set –name dnsanyquery
iptables -v -A INPUT -p udp –dport 53 -m recent –name dnsanyquery –rcheck –seconds 1 –hitcount 10 -j DROP

**walker** · 2015-01-15, 08:25 PM

نوشته اصلی توسط ehsan653

سلام
چطور میشه اتک Recursive query رو رد کرد یا اینکه در میکروتیک چطور میشه این گزینه رو غیر فعال کرد.
ممنون میشم از متخصصین راهنمایی کنند

سلام میتونید dns server کانفیگ فایلش
recursion no کنید
همچنین zone اجازه ندید با بیرون تعامل داشته باشند
موفق باشید./

**ehsan653** · 2015-01-16, 05:40 PM

ممنون از توجهتون
مشکل اینه که من پشت این روتر دو تا وب هاست پنل دارم و یکی از سرویسهاشون هم که باید کار کنه dns هست که روی پورت 53 هست و نمی تونم اون رو ببندم ظاهرا میکروتیک همه انواع دیگه پاسخدهی dns رو forward میکنه اما این یک نوع رو خودش جواب میده و در عین حال به سرویس dns خود میکرو هم احتیاج دارم اما در lan .
اگر بشه به نوعی یه بیرون جواب نده اما پورت هم بسته نشده باشه مشکل من حل میشه
در ضمن نمی خوام سروری هم اضافه کنم .
باز هم ممنون

موضوع: راه حل Recursive query attack چیست؟

پیوند

ابزارهای موضوع

نمایش

راه حل Recursive query attack چیست؟

کلمات کلیدی در جستجوها:

حمله dns query attack

حملات dns query attack

حملات dns query attack حمله dns query attack

برچسب برای این موضوع

مجوز های ارسال و ویرایش