Vlákno názorů k článku Útok na DNS náhodnými dotazy od MilanJ - Diky za clanek. Podobnym utokum celime casto. Provozujeme Unbound...

Diky za clanek.

Podobnym utokum celime casto. Provozujeme Unbound a reseni jsme (pred mnoha mesici) nasli v blokovani problematickych dotazu pomoci iptables na nasich resolverech (anycast BGP po Evrope). Ackoliv by si nekdo mohl rict, ze L7 packet inspekce je prilis, funguje to perfektne (na novych kernelech).

Jinak v Unbound serveru tohle lze jednoduse sledovat pomoci unbound-control dump_requestlist |awk '{ print $4}'| rev | cut -d'.' -f -3 | rev | sort | uniq -c | sort -n

Milan

Dobry den,
presne toto pouzivame. Podelil byste se, prosim, o nejaky priklad te inspekce na L7?
Diky.

Jen kratce:
iptables -I INPUT -m string --hex-string "|04313372790­3636f6d|" --algo bm --to 100 -j DROP -m comment --comment '13ry.com'

Ten hex-string je jmeno problematicke domeny kodovane napr. pomoci :
#!/usr/bin/env python

import codecs
import sys

if len(sys.argv) < 2:
sys.exit('Usage: %s human-string' % sys.argv[0])

hexlify = codecs.getenco­der('hex')

for label in sys.argv[1].split('­.'):
sys.stdout.wri­te(str("{0:0{1}x}"­.format(len(la­bel),2)))
sys.stdout.wri­te(hexlify(la­bel)[0])

sys.exit()

Snad to pomuze.

Dekuji vam. Vyzkousim si to, vypada to zajimave.