IPFW a zakaz DNS dotazu typu ANY

[Ivo Hazmuk]

Ahoj,

uz jsem reseni nasel. Je treba pouzit netgraph.
http://citrin.ru/freebsd:ng_ipfw_ng_bpf

Navod je v rustine. Aspon trochu potrenuji ;-)

 	Ivo Hazmuk

On Thu, 13 Sep 2012, Ivo Hazmuk wrote:

> Ahoj,
>
> urcite jste zaregistrovali, ze zhruba od poloviny cervna probiha utok proti 
> DNS, kdy na autoritativni jmenne servery prichazi obrovska kvanta dotazu typy 
> ANY s podvrzenymi zdrojovymi IP adresami. Dobrymi cili jsou zony s DNSSECem 
> ci TXT RR. Vysledkem je zesilena odpoved.
>
> Zkousel jsem radu reseni, ale ani jedno neni uplne idealni. 1) Blokovani 
> veskereho DNS provozu ze zdrojovych IP adres, ale ty jsou podvrzene
> 2) Bind 9.9.1-P2 s RRL zaplatou - to trochu pomuze, ale hodi se spis na jine 
> situace.
> 3) Omezit pasmo pro DNS - to byl muj prvni, zoufaly pokus. Nepouzitelne.
>
> S kolegy vidime zasadni problem v dotazu ANY. Pokud by se podarilo tento typ 
> dotazu zakazat, neodpovidat na nej, bude tento utok neuciny.
>
> Najit v Bindu misto, kde by se tento dotaz filtroval neni jednoduche. A 
> opravovat to s kazdou novou verzi je nepouzitelne.
>
> Co tak pouzit firewall. V IPTABLES to mozne je:
> -p udp --dport 53 -m string --from 50 --algo bm --hex-string '|0000FF0001|'
> -m recent --name dnsanyquery --rcheck --seconds 60 --hitcount 5 -j DROP
>
> Vice na URL: https://isc.sans.edu/diary.html?storyid=13261
>
> Mate nejaky napad, jak to udelat ve FreeBSD 8. V IPFW jsem nenasel nic, co by 
> podobnou konstrukci umoznilo.
>
> 	Diky
> 		Ivo Hazmuk
> -- 
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>