The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Вышел DNS-сервер BIND 9.9.4 с поддержкой RRL для блокирования DDoS-атак

20.09.2013 22:41

Консорциум ISC представил новый значительный выпуск DNS-сервера BIND 9.9.4, примечательный интеграцией поддержки технологии RRL (Response Rate Limiting), позволяющей ограничить интенсивность отправки ответов DNS-сервером, что даёт администраторам средства для эффективной защиты от вовлечения их сервера в проведение DDoS-атак.

В последнее время участились случаи использования отвечающих на сторонние запросы открытых DNS-серверов для усиления трафика при DDoS-атаке на другие системы. Суть атаки состоит в том, что атакующий пользуясь тем, что ответ DNS-сервера превышает по размеру DNS-запрос, путем отправки запросов с фиктивного обратного адреса, указывающего на IP жертвы, создаёт волну трафика из обратных ответов, примерно в 100 раз превосходящая исходный трафик. Используя ботнет для генерации первичных запросов, атакующий направляет трафик не на прямую, а через "линзу" из миллионов открытых резолверов, что позволяет добиться волны порядка 50 млн пакетов в секунду.

RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя. Заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие. Управление RRL производится через директиву responses-per-second, указываемую в блоке rate-limit и позволяющую задать допустимое число ответов в секунду.

Из других изменений можно отметить изменение значения по умолчанию длины очереди принимаемых TCP-соединений (tcp-listen-queue) с 3 до 10, что является более оптимальным значением для современных серверов. Добавлена поддержка OpenSSL 0.9.8y, 1.0.0k и 1.0.1e с PKCS#11. Обеспечена возможность отображения в логах slave-сервера отправки DDNS-обновлений к master-серверу. Устранены две уязвимости (уязвимости уже давно исправлены в обновлениях 9.9.3-P2, 9.8.5-P2 и 9.6-ESV-R9-P2):

  • CVE-2013-4854 - позволяет инициировать крах процесса named через отправку запроса со специально оформленным содержимым поля RDATA. Уязвимости подвержены как рекурсивные, так и авторитетные серверы.
  • CVE-2013-3919 - позволяет инициировать крах серверного процесса named при возврате внешним DNS-сервером записи из специально оформленной зоны в ответ на рекурсивный запрос резолвера.

Также можно отметить выход обновления прошлой, но ещё поддерживаемой ветки - BIND 9.8.6, в которой не реализовано поддержки RRL, но добавлены другие отмеченные выше исправления и улучшения.

  1. Главная ссылка к новости (https://lists.isc.org/pipermai...)
  2. OpenNews: Доступен DNS/DHCP-сервер BIND 10 1.1.0
  3. OpenNews: На Spamhaus.org обрушилась крупнейшая в истории DDoS-атака
  4. OpenNews: Представлена бета-версия DNS-сервера NSD 4.0
  5. OpenNews: Открыт код DNS-сервера YADIFA, используемого на первичных серверах доменной зоны EU
  6. OpenNews: Релиз DNS-сервера BIND 9.9.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/37962-bind
Ключевые слова: bind, dns, rrl, ddos, limit
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (89) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, MSlinux (?), 23:09, 20/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    для домашнего пк есть смысл от кэширующего Бинда?
     
     
  • 2.6, Аноним (-), 23:42, 20/09/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Конечно есть - во многих случаях задержки на DNS запрос полностью устраняются (у меня лично - во всех, ибо на bind наложен небольшой патчик, благодаря которому он не удаляет записи из кэша при истечении TTL).
     
     
  • 3.7, Serge (??), 23:55, 20/09/2013 [^] [^^] [^^^] [ответить]  
  • +10 +/
    и, наверное, и не обновляет их?

    PS. выстрел себе даже не в ногу, а прямо в голову

     
     
  • 4.19, Аноним (-), 05:42, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Обновляет, разумеется.
     
  • 4.33, Eddhie (ok), 14:07, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    "Моё дело сказать, а вы дальше сами решайте"?
     
  • 3.9, Аноним (-), 00:09, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > благодаря которому он не удаляет записи из кэша при истечении TTL)

    После чего некто будет долго чесать репу: а чего это у меня не грузится вон тот сайт, а у остальных все пучком? Ах, у сайта айпишник сменился?!

     
     
  • 4.20, Аноним (-), 05:43, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > После чего некто будет долго чесать репу: а чего это у меня
    > не грузится вон тот сайт, а у остальных все пучком? Ах,
    > у сайта айпишник сменился?!

    Разумеется кэш обновляется.

     
  • 3.73, rost (?), 20:35, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Конечно есть - во многих случаях задержки на DNS запрос полностью устраняются
    > (у меня лично - во всех, ибо на bind наложен небольшой
    > патчик, благодаря которому он не удаляет записи из кэша при истечении
    > TTL).

    тогда уж лучше юзать unbound. там эта фича есть из коробки (prefetch вроде называется)

     
  • 2.8, Аноним (-), 23:58, 20/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    когда домашний роутер кэширует то нет
     
  • 2.13, Аноним (-), 01:09, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    для дома есть Dnsmasq
     
     
  • 3.74, rost (?), 20:39, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > для дома есть Dnsmasq

    dnsmasq отличная штука. жаль только не умеет рекурсивные запросы.

     
  • 2.87, Аноним (-), 16:45, 23/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    от Djb или unbound-а - есть.
    а вообще для кэширования лучше использовать Отедельные, ДРУГИЕ сервисы, де-факто.
    практически.
     

  • 1.2, Аноним (-), 23:16, 20/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    нет
     
  • 1.3, Аноним (-), 23:16, 20/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    конечно нет. 8.8.8.8 или 4.2.2.2 отвечают значительно быстрее чем домашний)
     
     
  • 2.5, pansa (ok), 23:38, 20/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    неожиданно, 77.88.8.8 отвечает еще быстрее 8.8.8.8  ;]
     
  • 2.16, bircoph (ok), 04:39, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У меня дома unbound, отвечает быстрее 8.8.8.8 и 77.88.8.8.
     
     
  • 3.75, rost (?), 20:48, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня дома unbound, отвечает быстрее 8.8.8.8 и 77.88.8.8.

    ну дак unbound-у не нужно скидывать данные в АНБ, поэтому и быстрее :)

     
     
  • 4.88, Аноним (-), 16:47, 23/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> У меня дома unbound, отвечает быстрее 8.8.8.8 и 77.88.8.8.
    > ну дак unbound-у не нужно скидывать данные в АНБ, поэтому и быстрее
    > :)

    кстати, возможно,
    о связах ISC и NSA давно муссируется в прессе )
    гонконгский создатель/спонсор unbound по такой логике - должен "сливать" в Ми-6. если КПК разрешит ;)

     
  • 2.18, someone (??), 05:41, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    4.2.2.2 - это чей?
     
     
  • 3.86, SirZ (ok), 06:10, 23/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Начиная с 4.2.2.1 по 4.2.2.6 - публичные DNS Level 3 communications.
     
  • 2.21, Аноним (-), 05:48, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > конечно нет. 8.8.8.8 или 4.2.2.2 отвечают значительно быстрее чем домашний)

    Если кто из вышеответивших не понял, товарищ Аноним сакразмирует.

    Эта гугловская муть, во-первых, несравнимо дальше даже провайдера (у меня - в 50 раз), не говоря уже о доме. Во-вторых, отвечает прежде всего гуглу о ваших пристрастиях, а также может им фильтроваться по приказу роскомнадзора или ещё какой пакости.

     
     
  • 3.41, Ыыы (??), 19:27, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Внезапно: Роскомнадзор блокирует по IP
     
     
  • 4.46, Аноним (-), 19:44, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А вот юшкинкские копирасты - еще и по гуглу.
     
  • 4.48, Дядя_Федор (?), 19:59, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Внезапно: Роскомнадзор блокирует по IP

    Роскомнадзор вообще ничего не блокирует. Он всего лишь ведет пресловутый "реестр", которые обязаны загружать провайдеры. Ну а уж сам провайдер вправе выбирать способ блокировки - IP или конкретный URL. Мы, например, блокируем по URL. Ввиду наличия оборудования DPI (CISCO SCE-8080).


     
     
  • 5.51, anonymous (??), 22:41, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Внезапно: Роскомнадзор блокирует по IP
    >  Роскомнадзор вообще ничего не блокирует. Он всего лишь ведет пресловутый "реестр",
    > которые обязаны загружать провайдеры. Ну а уж сам провайдер вправе выбирать
    > способ блокировки - IP или конкретный URL. Мы, например, блокируем по
    > URL. Ввиду наличия оборудования DPI (CISCO SCE-8080).

    Блокировка через DNS тоже предусмотрена, и, на мой взгляд, является наиболее гуманной по отношению к абоненту.

     
     
  • 6.52, Аноним (-), 23:41, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Для DNS без разницы, какой там path внутри сайта, оно весь домен кроет.
    Другое дело, что обойти ее проще, это да. При определенном рас3.14здяйстве со стороны прова, конечно.
     
  • 6.59, Дядя_Федор (?), 10:34, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Блокировка через DNS тоже предусмотрена, и, на мой взгляд, является наиболее гуманной
    > по отношению к абоненту.

    Самой НАИБОЛЕЕ гуманной по отношению к абоненту является блокировка конкретного URL, указанного в реестре. Если заблокировать весь фейсбук (например), вместо конкретной ссылки - сомневаюсь, что это найдет понимание среди абонентов. Естественно, подобная блокировка требует наличия оборудования DPI (либо ее имитации). Что довольно накладно, но необходимо.


     
     
  • 7.63, anonymous (??), 11:40, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Я имел в виду, что ее проще обойти, да Любой абонент может это сделать, просто ... большой текст свёрнут, показать
     
     
  • 8.64, Аноним (-), 16:36, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Профит состоит в том, что мордорнадзор не лишит вас лицензии ... текст свёрнут, показать
     
     
  • 9.72, anonymous (??), 20:23, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ими и разрешено блокировать через DNS, были уже обсуждения, почитайте Так что э... текст свёрнут, показать
     

  • 1.4, Дядя_Федор (?), 23:28, 20/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Странно. RRL вроде уже давно есть в бинде.
     
     
  • 2.24, тигар (ok), 10:18, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    в виде сторонних патчей
     
     
  • 3.47, Дядя_Федор (?), 19:56, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > в виде сторонних патчей

    Возможно и так. Но в gentoo на моих серверах USE-флаг RRL был уже давно. И активно лично мной используется уже полгода как. Вполне допускаю, что сборки для gentoo бинда были сделаны с этими патчами.


     
     
  • 4.54, Аноним (-), 23:46, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> в виде сторонних патчей
    >  Возможно и так. Но в gentoo на моих серверах USE-флаг RRL
    > был уже давно. И активно лично мной используется уже полгода как.
    > Вполне допускаю, что сборки для gentoo бинда были сделаны с этими
    > патчами.

    Это левый патч. См, например, bind-9.9.3_p2.ebuild, строчка 51.

     

  • 1.10, Аноним (-), 00:26, 21/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя. Заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие. Управление RRL производится через директиву responses-per-second, указываемую в блоке rate-limit и позволяющую задать допустимое число ответов в секунду.

    Замечательно. Они изобрели
    iptables -I OUPTUT -p udp --sport 53 -m hashlimit --hashlimit-mode dstip --hahslimit-above $NUMBER/sec --hahslimit-name RRLNIH -j DROP
    ?

     
     
  • 2.12, Аноним (-), 00:29, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    (Хотя, конечно, идеологически более правильно пихать такое в INPUT, чтобы не грузить процесс бинда почем зря)
     
     
  • 3.31, ананим (?), 13:41, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Верно. И подобную запись нужно таки сделать.
    Вот только в OUTPUT тоже надо оставить, т.к. перманентно-точно известен только хост атакуемого таким способом.
     
  • 2.25, тигар (ok), 10:20, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • –7 +/
    >> RRL является способом справиться с проблемой на стороне DNS-серверов, давая возможность администраторам установить лимит на интенсивность отправки ответов в привязке к адресу получателя. Заданные через RRL ограничения действуют только на исходящие запросы и не влияют на входящие. Управление RRL производится через директиву responses-per-second, указываемую в блоке rate-limit и позволяющую задать допустимое число ответов в секунду.
    > Замечательно. Они изобрели
    > iptables -I OUPTUT -p udp --sport 53 -m hashlimit --hashlimit-mode dstip --hahslimit-above
    > $NUMBER/sec --hahslimit-name RRLNIH -j DROP
    > ?

    подсказка:
    iptables: Command not found.
    подсказка2:
    с rrl этот же конфиг можно будет использовать везде где есть bind соответствующей версии.


     
     
  • 3.27, Аноним (-), 11:56, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +9 +/
    > подсказка:
    > iptables: Command not found.

    Фу, выбрось каку!

     
  • 3.29, Crazy Alex (ok), 13:10, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    ставить dns-сервер там, где нет iptables? ну-ну...
     
     
  • 4.30, анон (?), 13:30, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    чел прется от ipfw
     
     
  • 5.32, ананим (?), 13:42, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    это понятно.
    вопрос в другом, он хочет сказать, что на ipfw этого нельзя повторить?
    а то прям первым пунктом пишет.
     
     
  • 6.34, Аноним (-), 14:26, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • –5 +/
    у iptables слишко дерьмовый синтаксис
     
     
  • 7.35, ананим (?), 14:35, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    То есть ты хочешь сказать, что раз тигер ipfw не осилил, то iptables тем более не смог?
     
  • 7.42, Аноним (-), 19:29, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >  у iptables слишко дерьмовый синтаксис

    Стандартный юниксно-позиксный синтаксис командной строки не нравится? Тогда вперед на винду :)

     
     
  • 8.58, тигар (ok), 09:52, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • –6 +/
    покажи ссылку на стандарт , блондинко ... текст свёрнут, показать
     
     
  • 9.60, ананим (?), 11:02, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    да хоть сто порций 8212 http pubs opengroup org onlinepubs 9699919799 utili... текст свёрнут, показать
     
  • 9.69, Аноним (-), 16:55, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Виндузятники не слышали про POSIX Это прискорбно Но закономерно ... текст свёрнут, показать
     
     
  • 10.76, тигар (ok), 22:45, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    мальчик, в каком месте там написано про caps lock покажи, не скрывай уже ... текст свёрнут, показать
     
  • 7.89, Аноним (-), 16:49, 23/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > у iptables слишко дерьмовый синтаксис

    у это не у iptables синтаксис кривой, это у netflow linux/netfilter которым тот рулит - "дерьмовый синтаксис". но было бы странно если бы он с ним общался на другом языке, именно ПОЭТОМУ, увы. но наркоманы, писавшие netflow для linux - наверняка из АНБ )

     
     
  • 8.94, Дядя_Федор (?), 08:31, 24/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Каким боком тут вообще netflow То, о чем Вы говорите - набор утилит для приема... текст свёрнут, показать
     
  • 6.44, Аноним (-), 19:42, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > на ipfw этого нельзя повторить?

    Низя. И на pf тоже. Там можно ограничить только скорость открытия новых соединений. А это нормально работает только с TCP.

     
     
  • 7.49, ананим (?), 20:50, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Правда чтоли?
    А как же они с бруфорсом борются то?
     
     
  • 8.53, Аноним (-), 23:43, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Брутфорс обычно идет поверх TCP, там оно кай-как работает Если, конечно, на уро... текст свёрнут, показать
     
  • 8.68, Аноним (-), 16:46, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот так объявляют это проблемой прикладного софта Если у в нашем любимом S... текст свёрнут, показать
     
  • 6.57, тигар (ok), 09:51, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • –8 +/
    > это понятно.
    > вопрос в другом, он хочет сказать, что на ipfw этого нельзя повторить?
    > а то прям первым пунктом пишет.

    щито?

    а вот ниже верно написали - синтаксис у таблиц пидерастовский. ну или блондинистый. как прочевшему коммент будет менее обидно;-)

     
     
  • 7.61, ананим (?), 11:07, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    был бы пидерастовский, то тебе бы нравился.
    а так, только лишь соответствует POSIX'у.
     
     
  • 8.77, тигар (ok), 22:49, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • –3 +/
    мальчик, когда я осознал насколько он пидерастический, я, кщастью, сменил ОС, с ... текст свёрнут, показать
     
     
  • 9.81, ананим (?), 23:48, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И ты стал девочкой Понятно С учотом аргументов ... текст свёрнут, показать
     
     
  • 10.83, тигар (ok), 23:55, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • –2 +/
    не нужно выдавать желаемое за действительное, йунаша все еще проще, на той рабо... текст свёрнут, показать
     
  • 7.66, Аноним (-), 16:42, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > а вот ниже верно написали - синтаксис у таблиц пидерастовский. ну или
    > блондинистый. как прочевшему коммент будет менее обидно;-)

    Вы путаете с sendmail.cf.

     
  • 7.67, Аноним (-), 16:45, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а вот ниже верно написали - синтаксис у таблиц пидерастовский. ну или
    > блондинистый. как прочевшему коммент будет менее обидно;-)

    Кстати, блондинистые убунтята без проблем нагородили поверх айпистолов pf-подобный ufw.

    Что как бы намекает нам, что iptables - для взрослых мужиков, а pf/ipfw/ufw - для блондинок и убунтят.

     
     
  • 8.78, тигар (ok), 22:50, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    чуть выше ты упомянул sendmail cf он чо, тоже для взрослых мужиков , а для блон... текст свёрнут, показать
     
  • 5.55, Crazy Alex (ok), 01:40, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так он намекает подсказками своими - и я намекнул...
     
  • 5.70, Аноним (-), 16:59, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > чел прется от ipfw

    Чел убунтенок? У них там тоже клуб прущихся по ipfw-синтаксису.

    Скоро они и до coreutils доберутся, будет у них вместо "ls -alt" - "uls show me all long in current dir sorted by time"

     
     
  • 6.79, тигар (ok), 22:53, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> чел прется от ipfw
    > Чел убунтенок? У них там тоже клуб прущихся по ipfw-синтаксису.

    они просто уже успели осознать насколько ущербен синтаксис таблиц, по сравнению с аналогами ([i]pf, ipfw). а может у них тупо капс-лок сломан и шифты тоже.
    > Скоро они и до coreutils доберутся, будет у них вместо "ls -alt"
    > - "uls show me all long in current dir sorted by
    > time"

    ну это ваше, линапсоедное, будущее. посмотришь сам лет через 5 во что превратят его ;-)

     
  • 3.43, Аноним (-), 19:30, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > подсказка:
    > iptables: Command not found.

    Мои соболезнования. Попробуйте поставить нормальную ОС?

    > подсказка2:
    > с rrl этот же конфиг можно будет использовать везде где есть bind
    > соответствующей версии.

    Можно. Но зачем?

     
     
  • 4.56, тигар (ok), 09:49, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >> подсказка:
    >> iptables: Command not found.
    > Мои соболезнования. Попробуйте поставить нормальную ОС?

    О! Расскажи какая ОС - нормальная. а то тут местные долбое^Wспециалисты зачем-то рассказывают что это про линукс.

    >> подсказка2:
    >> с rrl этот же конфиг можно будет использовать везде где есть bind
    >> соответствующей версии.
    > Можно. Но зачем?

    чтобы не решать средствами быдлотаблиц задачи прикладного ПО. Понимаю, дэбилы и ngx будут таблицами закрывать вместо того чтобы док-цию на ngx почитать. и точно также не будут понимать "ЗАЧЕМ ЧИТАТЬ?! если iptables -I ПЫЩПЫЩ -ОЛОЛОЛ -Я -НЕ -БЛОНДИНКО -ЭТО -ТАБЛИЦЫ -ВСЕ -j DROP"

     
     
  • 5.62, ананим (?), 11:13, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >чтобы не решать средствами быдлoтаблиц задачи прикладного ПО

    ага, чтобы решать быдлoкостылями промахи в дизайне стандарта протокола DNS.
    при этом гоняя быдлoзапросы из кернел-спейса в юзер-спейс и обратно.
    а местный тигар то любитель шкурку погонять, угу.

     
     
  • 6.71, Аноним (-), 17:01, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну надо ж как-то оправдаться, что его любимый воннаби-фаервол не умеет базовых функций фильтрации пакетов :)
     
  • 6.80, тигар (ok), 22:55, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>чтобы не решать средствами быдлoтаблиц задачи прикладного ПО
    > ага, чтобы решать быдлoкостылями промахи в дизайне стандарта протокола DNS.

    поржал, приши еще, специолизд
    http://wiki.nginx.org/HttpLimitReqModule тут афтары, по всей видимости, латают промахи в http. жги истчо.
    > при этом гоняя быдлoзапросы из кернел-спейса в юзер-спейс и обратно.

    ад-то какой. и ЧСХ таких спецов все больше и больше ;(
    > а местный тигар то любитель шкурку погонять, угу.

     
  • 5.65, Аноним (-), 16:41, 22/09/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > О! Расскажи какая ОС - нормальная.

    Линукс, например. Но добое^Wблондинки, конечно, не согласятся :)

    > чтобы не решать средствами быдлoтаблиц задачи прикладного ПО. Понимаю, дэбилы и ngx
    > будут таблицами закрывать вместо того чтобы док-цию на ngx почитать.

    Не надо пытаться компенсировать ущербность фаервола, нагружая прикладной софт.

    > точно также не будут понимать "ЗАЧЕМ ЧИТАТЬ?! если iptables -I ПЫЩПЫЩ
    > -ОЛОЛОЛ -Я -НЕ -БЛОНДИНКО -ЭТО -ТАБЛИЦЫ -ВСЕ -j DROP"

    Не нравится юниксовый синтаксис? Бегом на винду.

     
     
  • 6.85, тигар (ok), 00:07, 23/09/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> О! Расскажи какая ОС - нормальная.
    > Линукс, например. Но добое^Wблондинки, конечно, не согласятся :)

    нука-нука, расскажи подробнее, в каком он месте "нормальная ОС" (меня всегда потешало наблюдать за болванчиками)
    >> чтобы не решать средствами быдлoтаблиц задачи прикладного ПО. Понимаю, дэбилы и ngx
    >> будут таблицами закрывать вместо того чтобы док-цию на ngx почитать.
    > Не надо пытаться компенсировать ущербность фаервола, нагружая прикладной софт.

    и заодно расскажи, в каком месте фаервол ущербен. на выбор даже даю: pf и ipfw, можешь выбрать слабые стороны и поведать о них, ты же знаешь что они могут/не могут, правда?;)
    >> точно также не будут понимать "ЗАЧЕМ ЧИТАТЬ?! если iptables -I ПЫЩПЫЩ
    >> -ОЛОЛОЛ -Я -НЕ -БЛОНДИНКО -ЭТО -ТАБЛИЦЫ -ВСЕ -j DROP"
    > Не нравится юниксовый синтаксис? Бегом на винду.

    нравится, не нравится как обезьянка шифт жать, или капслок, может оттого я себя к линаксодам и не отношу ;-)

     
     
  • 7.91, anonymous (??), 18:53, 23/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > нравится, не нравится как обезьянка шифт жать, или капслок, может оттого я себя к линаксодам и не отношу ;-)

    Ну да, и SSH-клиент у тебя называется putty.exe.

     
     
  • 8.92, тигар (ok), 21:33, 23/09/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    даже когда я использовал виндуз я не юзал это говно в силу того, что telneat she... текст свёрнут, показать
     
     
  • 9.93, anonymous (??), 22:56, 23/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так ты вообще через телнет админил И не стыдно ... текст свёрнут, показать
     
  • 5.95, Crazy Alex (ok), 20:31, 25/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Ну ты натурально идиот. Действительно - зачем универсальный инстумент, путсь каждая тулза делает свой дубль одного и того же функционала. И да, это ж так плохо - выделить имя таблицы большими буквами, чтобы его сразу видно было. Что до меня - я бы еще и раскраску синтаксиса прямо в шелле сделал.
     
     
  • 6.96, тигар (ok), 21:57, 25/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну ты натурально идиот. Действительно - зачем универсальный инстумент, путсь каждая тулза
    > делает свой дубль одного и того же функционала. И да, это

    к счастью, есть люди у которых есть мозги (это я про разработчиков ngx, bind и тд, не про тебя).
    почему "к счастью" и почему "каждая тулза делает свой дублю одного и того же функционала" если не понимаешь - твои проблемы.
    > ж так плохо - выделить имя таблицы большими буквами, чтобы его
    > сразу видно было. Что до меня - я бы еще и
    > раскраску синтаксиса прямо в шелле сделал.

    что до тебя так ты б и говнобаш везде расставил. это "раз".
    два: я в говне давно не ковыряюсь, но что-то мне подсказывает что это не "имя таблицы", a chain - цепочка. если уж речь о iptables -I INPUT/OUTPUT/FORWARD. мне правда крайне влом смотреть мануал на говнотаблицы, я на 99% уверен в своей правоте и твоей ламернутости.
    и вот да, пока набирал "INPUT/OUTPUT/FORWARD" с зажатым shift 2 раза назвал афтарав этого УГ пидерастами.
    ну и три: так сделай раскраску же, розовеньким, к примеру. слабо?;-)

     

  • 1.11, Аноним (-), 00:27, 21/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > путем отправки запросов с фиктивного обратного адреса, указывающего на IP жертвы

    Что за провайдеры такие, разрешающие спуфинг IP адресов? Почему у них ещё не отобрали лицензию?

     
     
  • 2.90, Аноним (-), 16:52, 23/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> путем отправки запросов с фиктивного обратного адреса, указывающего на IP жертвы
    > Что за провайдеры такие, разрешающие спуфинг IP адресов? Почему у них ещё
    > не отобрали лицензию?

    да у б-ва даже RFC3074 не настроено )
    чего уж о следующих вещал.
    syncookie они не врубают, тк античный scaling при нем не работает(изыйде Циско !), те про DTCP и СTCP они - не слышали, видимо.
    итд итп.


     

  • 1.26, Dfox (?), 10:50, 21/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Что за провайдеры такие, разрешающие спуфинг IP адресов? Почему у них ещё не отобрали лицензию?

    Ага и за внешние ip тогда давайте отбирать лицензию. А можно просто за выход пользователя в интернет сразу закрывать провайдера и никаких проблем.

     
     
  • 2.36, Аноним (-), 15:54, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Если у провайдера только подсеть 80.x.x.x почему из его сети идут пакеты с SRC 93.x.x.x как такое вообще допускают?
     
     
  • 3.37, продавец_кирпичей (?), 16:18, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если у провайдера только подсеть 80.x.x.x почему из его сети идут пакеты
    > с SRC 93.x.x.x как такое вообще допускают?

    Вы прослушали вопрос админа локалхоста и суппортера ссетки в бухгалтерии.


    Патамушта БыГыПы

     
     
  • 4.38, Аноним (-), 16:28, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Если не знаете, зачем пишите мусор?
     
  • 4.39, Аноним (-), 17:01, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Патамушта БыГыПы

    Ну и что Вы хотели сказать? Вы пытаетесь сейчас утверждать что боты сначала Вам с _клиентского интерфейса по BGP_ впаривают левые сети, а потом с них начинают слать пакеты "путем отправки запросов с фиктивного обратного адреса, указывающего на IP жертвы"? Очень смешно :)

     
     
  • 5.40, anonymous (??), 19:11, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Патамушта БыГыПы
    > Ну и что Вы хотели сказать? Вы пытаетесь сейчас утверждать что боты
    > сначала Вам с _клиентского интерфейса по BGP_ впаривают левые сети, а
    > потом с них начинают слать пакеты "путем отправки запросов с фиктивного
    > обратного адреса, указывающего на IP жертвы"? Очень смешно :)

    На самом деле, правильно разделять бордеры (BGP) и BRAS'ы, где терминируются абоненты.
    Таким образом удается избежать проблем false positives на интерфейсах c BGP-сессиями (т.е. вообще отключить там RPF) и избежать спуфинга адресов, включив его на том интерфейсе, где абонент терминируется. К сожалению, большинство мелких провайдеров имеет одно оборудование, служащее и бордером, и брасом, да еще и биллингом, зачастую.

     
     
  • 6.45, Аноним (-), 19:42, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Понятно, спасибо.
     
  • 3.50, Dfox (?), 21:35, 21/09/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Если у провайдера только подсеть 80.x.x.x почему из его сети идут пакеты с SRC 93.x.x.x как такое вообще допускают?

    Вы просто путаете провайдера с подсетью 80.x.x.x.

     

  • 1.28, Нанобот (ok), 12:23, 21/09/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    в этом был бы смысл, если бы оно было включено по-умолчанию, да и то, только в долгосрочной перспективе, когда на этих "миллионах открытых резолверов" переставят/обновят ОС. а так - ну включат через год на 0.1% резолверов эту фичу, ну уменьшится трафик на пару гигабит/с...никто и не заметит разницы
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру