-
Notifications
You must be signed in to change notification settings - Fork 4
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
权威DNS遭到DDOS攻击 #71
Comments
如果确定是源地址来源广泛,但访问 pattern 固定的 DDoS,可以在 iptables 里面根据字符串临时做一下屏蔽。
|
@bojieli 如预期的一样,增加iptables string后,CPU 100%..... |
https://cloud.yfgao.com/f/97aa5f3edb/ (expired) |
换成 目前包率降至 100K pps |
@gaoyifan 👍 可以增加一条规则来允许 mirrors.ustc.edu.cn 的查询请求,但不允许 *.mirrors.ustc.edu.cn 的查询请求。
|
@bojieli 似乎不一定是0007 |
@gaoyifan 刚统计了一下 5 秒钟抓包数据,发起攻击的 IP 地址数量不足 10K 个,这些地址中大多发出了两个以上的数据包,还有少数几个地址发出了大量数据包,说明攻击者的 IP 地址池也就这么大了,可以使用黑洞路由的方法封锁。 黑洞路由就是 |
@bojieli 涨姿势了~ 原来源路由检查还可以这么用 |
@bojieli update: 试了一下黑洞,几乎没什么效果,bind依然会跪。 |
添加后,bind已经可以正常解析了,几乎不会查询失败。 |
7:00 a.m. 攻击停止 |
被攻击的域名都是泛域解析的域名,用 iptables 似乎很难处理。bind9 的 rate limit 理论上对这类泛域解析的域名能有一定防御作用,但 dns 服务器 cpu 比较弱, bind9 处理不了这么大的包量。能否先让 jamesz 帮忙加个 cpu 看是否有效果。 |
slave dns 挂掉估计是因为 bind9 默认用了 16 个核,从而造成系统负载过高。现在把 bind9 限制在了 2 个核(鉴于目前 mirrors 本身负载就很高了。。) |
权威DNS遭到DDOS攻击,平均流量13MB/s,平均包率140K pps
峰值 19MB/s 200K pps
部分抓包:
The text was updated successfully, but these errors were encountered: