https://wiki.colobridge.net/безопасность/противодействие_атакам_dns_amplification_ddos
dig -t all ya.ru @<IP адрес вашего сервера>
Ответ защищенного сервера (не поддерживающего рекурсию):
host ya.ru 77.72.133.217 Using domain server: Name: 77.72.133.217 Address: 77.72.133.217#53 Aliases: Host ya.ru.keyweb.ru not found: 5(REFUSED)
https://blog.amet13.name/2015/07/dnsmasq-dns-amplification.html
# vim /etc/dnsmasq.conf
dns-forward-max=0# service dnsmasq restartПроверка:
# dig @$IP +edns=0 +ignore +noadflag com ANY
https://habrahabr.ru/post/51574/
iptables -A INPUT –in-interface eth1 –protocol udp –dport 53 –match state –state NEW –match string –algo kmp –hex-string “|00 00 02 00 01|” –from 40 –to 45 –jump DROP
https://www.lowendtalk.com/discussion/30091/how-to-secure-an-open-dnsmasq-on-the-internet
https://webhamster.ru/mytetrashare/index/mtb0/1467183959tht1i59386
# не пересылать простые текстовые запросы (без точки или без части домена)
domain-needed
# никогда не пересылать не маршрутизированные адреса
bogus-priv
# запрет считывать адреса DNS-серверов с файла resolv.conf
no-resolv
# отключение отслеживание изменения файла /etc/resolv.conf или другого файла выполняющего его функцию
no-poll
# Адреса верхних DNS-серверов (прописаны google OpenDNS)
server=8.8.8.8
server=8.8.4.4
# Для защиты от DNS атак необходимо запретить ответы от вышестоящих DNS серверов с IP адресами компьютеров локальной сети:
stop-dns-rebind
# очистка DNS-кэша при перезапуске сервиса
clear-on-reload
Статус запросов к DNS серверу в реальном времени:
apt-get install ngrep tcpdump
check whats going on:
ngrep -l -q udp and port 53
or
tcpdump -vvv -s 0 -l -n port 53
https://github.com/eBayClassifiedsGroup/PanteraS/issues/166