kb

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung 		Vorhergehende Überarbeitung
Nächste Überarbeitung Beide Seiten der Revision
kb [2012/11/15 15:29]
flacco [Gegenmaßnahmen] 		kb [2012/11/15 15:32]
flacco [Gegenmaßnahmen]
Zeile 237: Zeile 237:
  
 Reduziert man also die Anfragen auf Port 53/UDP beispielsweise auf 200 pro Sekunde, lässt die Firewall eben nur noch eben diese 200 Anfragen auf den DNS-Server zu, ungeachtet dessen, ob eine Anfrage gut oder böse ist. Schöpft der Angreifer das Limit bereits aus, sind Störungen des regulären Betriebs die Folge. Prinzipiell,​ hat der Angreifer auch auf diese Weise sein Ziel schon erreicht. Der einzig messbare Erfolg dieser Strategie ist die Reduktion des Traffics. Reduziert man also die Anfragen auf Port 53/UDP beispielsweise auf 200 pro Sekunde, lässt die Firewall eben nur noch eben diese 200 Anfragen auf den DNS-Server zu, ungeachtet dessen, ob eine Anfrage gut oder böse ist. Schöpft der Angreifer das Limit bereits aus, sind Störungen des regulären Betriebs die Folge. Prinzipiell,​ hat der Angreifer auch auf diese Weise sein Ziel schon erreicht. Der einzig messbare Erfolg dieser Strategie ist die Reduktion des Traffics.
 +
 +Hier noch beispielhaft eine entsprechende Firewall-Regel:​
 +
 +<​code>​
 +linux:~ # iptables -A INPUT -p UDP -i eth0 --sport 1024: --dport 53 -m limit --limit 200/s -j ACCEPT
 +</​code>​
  
 Besser ist also die Abwehr am Dienst selbst oder eine Kombination mehrerer Maßnahmen. Besser ist also die Abwehr am Dienst selbst oder eine Kombination mehrerer Maßnahmen.
Zeile 295: Zeile 301:
  
 <​code>​ <​code>​
 +options {
 +...
         blackhole { blackhole; 2.0.0.0/8; 224.0.0.0/​3;​ };         blackhole { blackhole; 2.0.0.0/8; 224.0.0.0/​3;​ };
         allow-query { any; };         allow-query { any; };
 +...
 +};
 </​code>​ </​code>​
  
  • kb.txt
  • Zuletzt geändert: 2020/10/20 10:47
  • von flacco