<html><head>

<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type">

</head><body text="#000000" bgcolor="#FFFFFF"><br>

<br>

Scott Brynen wrote:

<blockquote 

cite="mid:48187E5711D3204C991CB60EC396B754774DF388@VCVANMAILMB1.vci.local"

 type="cite">

  <pre wrap="">if you're not using the absolute latest bind, you can do a quick and nasty using IPTABLES.</pre>

</blockquote>

<br>

likewise ipfw. however, these would be request-based thresholds, which 

has an unacceptably high rate of both false positive and false negative.

 i strongly recommend against this approach when protecting remote 

victims. iptables and ipfw can be used with very high thresholds (20X 

the thresholds used for RRL) in order to protect a name server, but at 

that threshold you will do nothing to protect remote victims.<br>

<br>

paul<br>

<br>

re:<br>

<br>

<blockquote 

cite="mid:48187E5711D3204C991CB60EC396B754774DF388@VCVANMAILMB1.vci.local"

 type="cite">

  <pre wrap="">

Basically; if you get more than 12 hits in 75 seconds from the same IP, start dropping them.  There are few DNS situations where a client would make that many requests back to back to back, and even if you start denying them, their resolver (if it's real) should just switch over to another NS server.

iptables -A INPUT -p udp -m udp -m recent -i eth0 --dport 53 --update --seconds 75 --hitcount 12  --name DNSTHROTTLE --rsource -j DROP

iptables -A INPUT -p udp -m udp -m recent -i eth0 --dport 53 -j ACCEPT --set --name DNSTHROTTLE --rsource

</pre>

  <blockquote type="cite"><blockquote type="cite"><pre wrap="">I recently help close down an open recursive resolver.  It is still getting a lot of queries for isc.org/ANY which get a refused response (unless

slipped/dropped by RRL).  Granted, this doesn't amplify the attack since REFUSED is a fairly small packet, but it is still traffic to the attacked site. 

</pre></blockquote></blockquote>

  <pre wrap=""><!---->

_______________________________________________

dns-operations mailing list

<a class="moz-txt-link-abbreviated" href="mailto:dns-operations@lists.dns-oarc.net">dns-operations@lists.dns-oarc.net</a>

<a class="moz-txt-link-freetext" href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a>

dns-jobs mailing list

<a class="moz-txt-link-freetext" href="https://lists.dns-oarc.net/mailman/listinfo/dns-jobs">https://lists.dns-oarc.net/mailman/listinfo/dns-jobs</a>

</pre>

</blockquote>

</body></html>