Как всё плохо-то

[ufm]

http://ru-sysadmins.livejournal.com/2309759.html

И внезапно нет готового решения.

Originally published at U.F.M's Homepage. You can comment here or there.

Comments

[ico.livejournal.com]

Странного хочешь.
Вот типа приходишь ты домой, а дома интернета нету. Кое-как дозваниваешься до провайдера, а он говорит "а нету, 10 клиентов уже до вас успели, а остальных обслуживать не хотим".
И после этого ты даже дозвониться никуда не можешь, телефон заблокирован, ибо много вас, а сотовая хочет обслужить первых 10 клиентов,а на остальных положить большой и толстый.

И даже досить не надо, отправляй запросы, от которых твой dns самозаблокирует нужный домен и подсовывай жертве, которая решила его разресолвить, нужный ответ :)

[ufm.livejournal.com]

Ну т.е. выход тогда получается только один - отдавать абонентам 8.8.8.8 в качестве dns и пусть гугл с этим разбирается.

[ico.livejournal.com]

Понятно, что гугл с этим разберется.
Тогда в чем была идея поставить свой DNS? Экономия траффика? Контроль посещения?

[ufm.livejournal.com]

У меня за "спиной" сеть ШПД на некоторое количество (ну пусть на 100к) абонентов.
Для них есть кеширующий рекурсор.
Я думаю я не сильно приувеличу, если скажу, что процентов 2 - перманентно завирусованы, и бороться с этим безполезно.
Завирусованный комп шлёт примерно 10 запросов в секунду к ДНС (не "линза", которая у меня работать не будет, а просто вполне обычных запросов)
10*2000 = 20000 запросов в секунду.
Продолжать?

[ico.livejournal.com]

Тебя беспокоит количество запросов? Оно малое. Не знаю, как для видов, стандартный юниксовый named это тянет и не давится. Проблема может быть только с некэшируемостью негативных ответов. Тут unbound будет лучше.

[ufm.livejournal.com]

Ты не понимаешь. Как минимум потом ко мне приходят письма в стиле "от вас тут пришёл DOS".

[ico.livejournal.com]

ээ... какой DOS? От DNS-сервера?

[ufm.livejournal.com]

Да, а что тебя удивляет? Это только от меня одного 20к запросов привалило. А сколько таких как я?

[ico.livejournal.com]

астрой кэширование запросов.
статистика хоть есть? или у тебя все запросы юзверей уникальны? Низачтонеповерю! :)

[ufm.livejournal.com]

10:28:54.909389 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 61560+ A? odwlqpcbavwb.dafa888567.com. (45)
10:28:54.992348 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 21737+ A? erql.dafa888vd.com. (36)
10:28:55.089682 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 18979+ A? evirankzcvkn.dafa888vd.com. (44)
10:28:55.106080 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 57237+ A? cdgn.dafa888cg.com. (36)
10:28:55.106155 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 4689+ A? unwv.dafa888cg.com. (36)
10:28:55.221554 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 44048+ A? inwxatejankdypkv.dafa888678.com. (49)
10:28:55.316751 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 1352+ A? ulidwxev.www.dafa888789.com. (45)
10:28:55.331615 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 16424+ A? qrczytwnyncp.dafa888567.com. (45)
10:28:55.337334 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 57878+ A? cxqbupqlcrod.dafa888567.com. (45)
10:28:55.339062 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 47179+ A? uhqpgzgvoxsbalgn.www.dafa888789.com. (53)
10:28:55.445384 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 26934+ A? kzkrutklel.www.dafa888789.com. (47)
10:28:55.488311 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 26194+ A? kfunmnglmdel.dafa888cg.com. (44)
10:28:55.555407 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 15500+ A? gvkxejyjmnibatuh.dafa888567.com. (49)
10:28:55.582072 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 33066+ A? qpqzgdilovod.dlq.guo2.com. (43)
10:28:55.589398 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 15243+ A? wnuj.dafa888vd.com. (36)
10:28:55.863826 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 34023+ A? epolqxsdmpop.www.qam3388.com. (46)
10:28:55.975445 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 22393+ A? cngjuzsjunen.dafa888567.com. (45)
10:28:56.014287 IP xx.xx.xx.xx.xxxxxx > 193.111.114.5.53: 42954+ A? qvarmt.dafa888vd.com. (38)

Это запросы с одного адреса, для примера. Что тут кешировать, не подскажешь?

[ico.livejournal.com]

И действительно.
Но ты не одинок: https://stwalkerster.net/dns/ns2/?ring=queries :)

Можно поступать, как ростелеком в отдельных местах - первый запрос на ресолв всегда возвращать "не найдено" :)

[b00ter.livejournal.com]

Дык. DNS Amplification. Как нефик делать.

[ufm.livejournal.com]

Вот единственное, что я могу гарантировать - это то, что мой recursor не можно использовать для Amplification.

[b00ter.livejournal.com]

Отсечением по числу запросов с одного источника?

[ico.livejournal.com]

В ТЗ было "на один домен" :)

[b00ter.livejournal.com]

Так то ТЗ, а то - уверенность, что уже нельзя. Оттенки немного значат, да.

[ufm.livejournal.com]

Нет. По двум причинам.
1. Он не отвеает на запросы с адресами не из моей AS
2. От абонента не выйдут пакеты с левыми source address

[ico.livejournal.com]

Ага, только при правильной комплексной реализации - "как нефиг" не получится.

[-oxpa-.livejournal.com]

http://ss.vix.su/~vjs/rl-arm.html
The notions of "identical response" and "DNS client" for rate limiting are not simplistic. All responses to an address block are counted as if to a single client. The prefix lengths of addresses blocks are specified with ipv4-prefix-length (default 24) and ipv6-prefix-length (default 56).

Вот тут можно рейтлимитнуть что угодно, в общем-то. В частности, поставить маску побольше и все клиенты будут считаться "одним клиентом"

[-oxpa-.livejournal.com]

о мой бог! Комментарий не помечен как подозрительный! Со ссылкой!! Я в шоке.

[ufm.livejournal.com]

Так ты-же во френдах.

[avnik.livejournal.com]

ну там посоветовали -- взять dnsd на питоне, (или на ерланге) и слегка попатчить. Я если полчасика повспоминаю -- найду пару ссылочек.

[ufm.livejournal.com]

Ну если уж патчить - так брать тот-же unbound

[avnik.livejournal.com]

https://github.com/aetrion/erl-dns

И посмотрев наискось в https://github.com/aetrion/erl-dns/blob/master/src/erldns_query_throttle.erl мне показалось, что он уже умеет то что надо. (но тут могу и соврать)