Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
kb [2012/11/15 15:29] flacco [Gegenmaßnahmen] |
kb [2012/11/15 15:32] flacco [Gegenmaßnahmen] |
||
---|---|---|---|
Zeile 237: | Zeile 237: | ||
Reduziert man also die Anfragen auf Port 53/UDP beispielsweise auf 200 pro Sekunde, lässt die Firewall eben nur noch eben diese 200 Anfragen auf den DNS-Server zu, ungeachtet dessen, ob eine Anfrage gut oder böse ist. Schöpft der Angreifer das Limit bereits aus, sind Störungen des regulären Betriebs die Folge. Prinzipiell, hat der Angreifer auch auf diese Weise sein Ziel schon erreicht. Der einzig messbare Erfolg dieser Strategie ist die Reduktion des Traffics. | Reduziert man also die Anfragen auf Port 53/UDP beispielsweise auf 200 pro Sekunde, lässt die Firewall eben nur noch eben diese 200 Anfragen auf den DNS-Server zu, ungeachtet dessen, ob eine Anfrage gut oder böse ist. Schöpft der Angreifer das Limit bereits aus, sind Störungen des regulären Betriebs die Folge. Prinzipiell, hat der Angreifer auch auf diese Weise sein Ziel schon erreicht. Der einzig messbare Erfolg dieser Strategie ist die Reduktion des Traffics. | ||
+ | |||
+ | Hier noch beispielhaft eine entsprechende Firewall-Regel: | ||
+ | |||
+ | <code> | ||
+ | linux:~ # iptables -A INPUT -p UDP -i eth0 --sport 1024: --dport 53 -m limit --limit 200/s -j ACCEPT | ||
+ | </code> | ||
Besser ist also die Abwehr am Dienst selbst oder eine Kombination mehrerer Maßnahmen. | Besser ist also die Abwehr am Dienst selbst oder eine Kombination mehrerer Maßnahmen. | ||
Zeile 295: | Zeile 301: | ||
<code> | <code> | ||
+ | options { | ||
+ | ... | ||
blackhole { blackhole; 2.0.0.0/8; 224.0.0.0/3; }; | blackhole { blackhole; 2.0.0.0/8; 224.0.0.0/3; }; | ||
allow-query { any; }; | allow-query { any; }; | ||
+ | ... | ||
+ | }; | ||
</code> | </code> | ||