Jump to content
Калькуляторы

ACL от DNS Amplification на стороне аплинка

Приветствую!

 

А подскажите, пожалуйста, кто сталкивался.

Когда сеть провайдера под DDoS-атакой от DNS-серверов и хочется попросить аплинк повесить ACL на порту...

Допустим, аплинк зарежет весь UDP/53 в нашу сторону, за исключением, допустим, Third-party ДНС (Google, Йандекс, CloudFlare и т.д.) , и трафика на мои рекурсивные ДНС-ы.

Но как быть с клиентским рекурсивными ДНС-ами?

 

Кто как делал?

 

Share this post


Link to post
Share on other sites

No problem!
Просканируйте сеть и найдите сервера на клиентских ip. Добавьте в исключение вместе со своими.
Вопрос "зачем это надо" не поднимаю.

Share this post


Link to post
Share on other sites
2 часа назад, floop сказал:

No problem!
Просканируйте сеть и найдите сервера на клиентских ip. Добавьте в исключение вместе со своими.
Вопрос "зачем это надо" не поднимаю.

Спасибо. Только сканировать ДНСы не всегда возможно, они могут не отвечать на запросы из-за пределов локальной сети...

Более действенный способ - анализ трафика на предмет исходящих ДНС запросов за пределы сети.

Share this post


Link to post
Share on other sites

@TheUser Вы же на аплинке блокировать хотите. Если он в пределах локалки отвечает, то и не потеряет ничего. Потеряет тот кто держит авторитативный сервер.

Share this post


Link to post
Share on other sites
9 часов назад, zhenya` сказал:

qrator вам покажет проблемы с вашей сети.

Постарайтесь научиться ясно излагать свои мысли. 

Share this post


Link to post
Share on other sites

https://radar.qrator.net регаетесь, подтверждаете владение AS. Получаете статистику по проблемам на своей AS. Все абсолютно бесплатно.

Share this post


Link to post
Share on other sites
8 часов назад, zhenya` сказал:

https://radar.qrator.net регаетесь, подтверждаете владение AS. Получаете статистику по проблемам на своей AS. Все абсолютно бесплатно.

Уже лучше.

Спасибо, уже зареган. Но есть какой-то дискомфорт от этой компании...

Но вопрос касается не проблем на сети в виде открытых резолверов и т.д., а способа защиты сети от атак извне.

Share this post


Link to post
Share on other sites
В 23.04.2020 в 10:53, TheUser сказал:

Но есть какой-то дискомфорт от этой компании...

А в чём дискомфорт ?

 

В 22.04.2020 в 13:42, TheUser сказал:

Но как быть с клиентским рекурсивными ДНС-ами?

 

Кто как делал?

 

Никак.

Если атакующий грамотный - он в эти IP вычислит и в них и нальёт.

L7-прокси DNS для таких вещей нужно строить.

:(

Но Qrator умеет такие штуки делать :)

Edited by Kirya
Добавление.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now