DNSへのDDoS攻撃修正
昨日、DNSへのDDoS攻撃対策を書いたけど、
一部間違っていたので修正版を備忘録として書いておこうと思う
要は、53番ポートへの連続アクセスを制限したはいいけど、その後に
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
が存在していたから、ここにマッチしてアクセスできてしまっていた。
だから上記の前に
を追加して遮断した。
IPTABLESは間違っても直ぐに見ればわかる。
firewalldはなかなかそうは行かない。
もしかしたら、最終的に廃れるんじゃないかと思う。
→自分が理解仕切れていないから、世間的にも支持されないだろうという
都合のいい妄想です。
以下が現在の設定
=============================================================
# Generated by iptables-save v1.4.21 on Mon May 15 12:04:37 2017
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [145:40321]
-A INPUT -s xxx.xxx.xxx.xxx/32 -j ACCEPT
-A INPUT -m set --match-set blk src -j DROP
-A INPUT -p tcp -m state --state NEW -m tcp --dport 53 -m hashlimit --hashlimit-upto 1/min --hashlimit-burst 101 --hashlimit-mode srcip --hashlimit-name named-limit --hashlimit-htable-expire 120000 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --dport 53 -m hashlimit --hashlimit-upto 1/min --hashlimit-burst 101 --hashlimit-mode srcip --hashlimit-name named-limit --hashlimit-htable-expire 120000 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
COMMIT
# Completed on Mon May 15 12:04:37 2017
