绑定DNS速率-响应的限制和值-每秒和窗口

Question

在我的DNS服务器的named.conf中我看到

    rate-limit {
            responses-per-second 5;
            window 5;
    };

这到底是什么意思？它会导致DNS客户端的问题吗？这是不是配置太紧了？

Answer 1

它限制了一个DNS客户端在一秒钟内可以得到的相同响应的数量。window 5选项允许5*5响应的突发。

“相同的响应”和“单一DNS客户端”在这里有些不明显的术语，请阅读这里的更多信息：http://web.archive.org/web/20140209100744/http://ss.vix.su/~vjs/rl-arm.html。

一般来说，限制评级是一件好事--可能会在某一天发生DOS攻击时帮助你。在大多数情况下，缺省值应该是可以的。

Answer 2

你应该读BIND 9.9管理员参考手册。

基本上，responses-per-second是相同的答复数量，可以发送到一个目标，每秒。定义是很棘手的。

单个目标是一个网络地址块，其大小为ipv4-prefix-length或ipv6-prefix-length (视情况而定)。因此，如果ipv4-prefix-length是24，并且192.0.2.1和192.0.2.2都在查询DNS服务器，那么它们将共享这个配额，并且只能在它们之间发送这么多的查询。

相同的答复是对对特定RRtype的特定存在名称或不存在名称的查询的答复。以下查询都是不同的：

IN A example.net.
IN A www.example.net.
IN AAAA example.net.
IN A nonexistent.domain.example.net.

但是，以下所有查询都是相同的(假设nonexistent.domain.example.net.等与其名称相符)：

IN A nonexistent.domain.example.net.
IN A nonexistent.domain2.example.net.
IN SOA other.nonexistent.domain.example.net.

window使事情变得更加复杂。这是配额可以存入的秒数。乘window和responses-per-second可以给出任何配额都可以是正数的最大值，或者用更基本的术语来说，是最大的突发容量。

给出一个无懈可击的例子：

您是example.net.的非递归、权威的名称服务器。假设在过去10秒内根本没有看到DNS流量，并且问题中的配置适用于全局。下列事件依次发生：

1. 主机198.51.100.1发送100个IN NS example.net.查询。25人将被允许，其余75人将被忽略。
2. 主机198.51.100.1发送100个IN A nonexistent.example.net.查询。25人将被允许，其余75人将被忽略。
3. 主机198.51.100.1为IN MX nonexistent-domain.example.net.发送一个查询，由于已经达到了对不存在域的限制，它将被忽略。
4. 主机198.51.100.1发送一个IN A example.net.查询。这是允许的。
5. 主机192.0.2.1到192.0.2.50每个主机都发送一个IN NS example.net.查询。其中25人得到答复，其余25人被忽略；198.51.100.0/24的配额不适用于这些主机，但它们共享192.0.2.0/24的配额。
6. 一秒
7. 主机192.0.2.26到192.0.2.50重复它们的查询IN NS example.net.。其中5个得到回复，其余20个被忽略，因为配额仅以每秒5个查询进行补充。

Answer 3

iptables -A INPUT -p udp --dport 53 -m recent --set --name dnslimit
iptables -A INPUT -p udp --dport 53 -m recent --update --seconds 60 --hitcount 11 --name dnslimit -j DROP 

IPtables同样可以工作。如果发现攻击，则将流量完全排除在服务之外。