Hetzner и eDNS

2015-12-17 00:29
dadv: (chuck)
[personal profile] dadv

Оказалось, что немецкий хостер-лоукостер Hetzner в порядке защиты своей инфраструктуры от атак режет, в частности, входящие фрагментированные пакеты UDP, что в современном интернете частично ломает DNS-сервис. Проблема актуальна только тем, кто держит собственные DNS-серверы на физических или виртуальных серверах в Hetzner.

Детально проблема расписана в базе знаний ISC (наш случай - пункт 4. DNS queries/responses using EDNS are allowed, but UDP fragmentation and reassembly is broken), но решение достаточно простое - настроить свой DNS-сервер сообщать другим серверам не посылать требующие фрагментации ответы. Этакий аналог TCP adjust mss, но для DNS через UDP. Более крупные ответы будут доставляться сразу по TCP вместо UDP.

Для сервера BIND достаточно прописать в секции options:

options {
  edns-udp-size 1432;
}

Tags:
Flat | Top-Level Comments Only

Date: 2015-12-17 05:59 (UTC)
From: [identity profile] mikkotlv.livejournal.com
Аналогично, я также давно закрыл фрагментированные пакеты UDP в администрируемом ЦОДе. Спасибо за солюшен, буду информировать клиентов в случае проблем.
Edited Date: 2015-12-17 06:03 (UTC)

Date: 2015-12-17 09:42 (UTC)
From: [identity profile] dadv.livejournal.com
Какую проблему решает такая фильтрация?

Date: 2015-12-17 11:39 (UTC)
From: [identity profile] dmarck.livejournal.com
DDoS mitigation при невозможности тречить UDP flows, очевидно?

Date: 2015-12-17 12:24 (UTC)
From: [identity profile] dadv.livejournal.com
А зачем нужен трекинг UDP?

Date: 2015-12-17 12:26 (UTC)
From: [identity profile] dmarck.livejournal.com
не UDP как такового, а UDPflows: в фрагментах же нет номера порта

Date: 2015-12-17 12:29 (UTC)
From: [identity profile] dadv.livejournal.com
Это ясно, что нету номера порта и что речь о потоках. Зачем нужно трекать потоки?

Date: 2015-12-17 12:34 (UTC)
From: [identity profile] dmarck.livejournal.com
чтобы порезать "плохие" фрагменты, которыми чаcnj DDoS'ят, пропуская "хорошие"

Date: 2015-12-17 12:39 (UTC)
From: [identity profile] dadv.livejournal.com
Но ведь режут-то не плохие фрагменты, а все и всегда - есть ли DDoS или нет его. Лекарство не должно быть хуже болезни.

Date: 2015-12-17 12:43 (UTC)
From: [identity profile] dmarck.livejournal.com
Ну, мы об одном и том же, в общем-то ;)

мы решили промежуточным способом: фрагменты сильно зарейтлимитили

Date: 2015-12-19 15:22 (UTC)
From: (Anonymous)
Я не вижу смысла передавать внутрь сети куски атак методом NTP/DNS-усиления. Которая будет грузить аплинки рэков или порты кастомеров.

Date: 2015-12-19 19:27 (UTC)
From: [identity profile] dadv.livejournal.com
Но ведь это гробит не только флуд, но и полезный трафик, а какой смысл в "лекарстве", которое вредит?

Date: 2015-12-21 03:40 (UTC)
From: [identity profile] mikkotlv.livejournal.com
По моей статистике 1-2 недовольных кастомеров в год, воспринимаю это как неизбежное зло.

Date: 2015-12-21 07:12 (UTC)
From: [identity profile] dadv.livejournal.com
А ведь можно было не ломать eDNS и довольно просто.
Flat | Top-Level Comments Only

Profile

dadv: (Default)
Choose your future

July 2024

M T W T F S S
12 34567
891011121314
15161718192021
22232425262728
293031    

Tags

Style Credit

Powered by Dreamwidth Studios