Estimados, recientemente hemos estado sufriendo ataques a nuestros
servidores DNS resolvers - no el autoritativo - (algún cliente con virus
hace consultas excesivas). El servidor es recursivo y por supuesto tiene
definidas las ACLs correspondientes para ser utilizado solo por los
clientes que corresponden, el problema como decía es que varios de estos
usuarios están infectados.
El tema es que son tantas las consultas que hacen que el servidor "se
viene abajo" (si me permiten la expresión tan poco técnica). Estoy
viendo la documentación sobre "RRL - Rate Response Limit" en Bind pero
no estoy 100% seguro si es esto lo que necesitamos. Vamos a poner un
ejemplo muy vulgar si me permiten:
- Un cliente normal hace una consulta promedio cada 1 segundo (como
decía es un ejemplo cualquiera para que se entienda)
- A partir de 10 consultas por segundo puede parecer sospechoso
- Si supera las 20 consultas por segundo me gustaría que bien no le
responda a más de 20 por segundo, haciendo efectivamente un "rate limit".
Ese sería el comportamiento deseado, pero aún no estoy seguro si RRL en
Bind sirve exactamente para esto. Según vi hasta ahora se recomienda el
uso en servidores autoritativos para frenar ataques del tipo de
amplificación, el cual no es nuestro caso, ya que se trata de un DNS
resolver y el tipo de ataque es el que se conoce como "pseudo random",
en el cual se consulta por un dominio válido pero con un subdominio
inválido, como por ejemplo:
gsdrt4.aws.com
2wdfdf.aws.com
qqtedd.aws.com
Cualquier idea que me puedan dar al respecto es bienvenida, mientras
tanto sigo leyendo documentación.
Por cierto, el servidor es bastante "potente" (Dell PowerEdge E3-1270,
3.4 GHz, 4 núcleos físicos con HT y 8 GB RAM), por lo que
sobredimensionarlo aún más no creo que sea una opción válida. Está
corriendo Bind 9.9.5.dfsg-9+deb8u7 sobre Debian Wheezy. Espero no
olvidarme de ningún dato relevante.
Saludos y muchas gracias,
Mauro.
