Авторизация

Вы можете войти через одну из учетных записей:

ИЛИ



Напомнить пароль
Регистрация

SecurityБлокирование DNS DDoS при помощи пакета fail2ban

Вы уже устали от кучи сообщений от logcheck'а об откаpе в обслуживании запросов к named? Ниже будет написано как ограничить себя от DDoS к named'у при помощи пакета fail2ban.

События о которых идёт речь выглядят так:

System Events
=-=-=-=-=-=-=
Jan 21 06:02:13 www named[32410]: client 66.230.128.15#15333: query (cache)
+'./NS/IN' denied


Однако следует отметить, что в большинстве случаев ip-адрес источника может быть сфальсифицирован. Каждый узел в бот-сети может послать один или несколько пакетов в секунду к DNS-серверу. Сервер в свою очередь отвечает сообщением об ошибке в запросе сфальсифицированному адресу, вызывая отказ в обслуживании у источника.

Устали от того, что ваш DNS сервер используется в качестве оружия в чужих DDoS-атаках? Попробуйте установить себе пакет fail2ban (Debian GNU/Linux). Оригинальный сайт проекта www.fail2ban.org.

Сначала установим себе пакет fail2ban. По умолчанию будут отслеживаться и блокироваться только атаки на службу ssh. Это неплохая идея. В пакете fail2ban могут контролироваться и другие службы, более того можно самостоятельно написать обработчики и фильтры к нему, но обсуждение этих вопросов выходит за рамки данной статьи.
aptitude install fail2ban

После того как пакет будет установлен проверяем содержимое файла /etc/fail2ban/jail.conf.
В конце файла находим описание которое надо произвести в настройках сервера named чтобы fail2ban смог нормально обрабатывать события для службы DNS.
Читать дальше
  • +1
  • shell
  • 28 октября 2010, 04:58
  • add twitter 

РуководствоСвязка DHCP с DNS по шагам

Наверняка в любой сети появляется потребность подробить\поделить сеть на vlan'ы\подсети.

Как вливать статические маршруты я уже писал недавно.

Есть несколько причин для чего это нужно:
1. Вы уперлись в 255 адресов и не хотите банально менять маску
2. Вам необходимо разбить сеть на отделы/районы/группы
Как разруливать Vlan'ы, я напишу как-нибудь посже.

Теперь по сути — Вам необходимо динамически обновлять прямую и обратную зоны, для этого и существует связка DHCP с DNS.

И так поехали:
Читать дальше
  • +2
  • BUM
  • 06 июля 2010, 10:26
  • add twitter