Esta é uma pergunta canônica sobre limitação de taxa no software de servidor de nomes ISC BIND.
Recentemente, ouvi falar dos recursos de limitação de taxa do BIND. DNS RRL em particular parece estar se tornando mais comum.
Eu estou um pouco confuso. Parte da documentação parece dizer que esses recursos não devem ser usados com servidores DNS recursivos, mas outros documentos abordam especificamente a infraestrutura DNS recursiva. Quem está certo?
Embora eu deseje muito que o ISC documente melhor esses recursos para o bem dos usuários com um nível de experiência abaixo de "especialista", isso é uma ilusão. Existem duas implementações separadas de limitação de taxa no BIND a partir da versão 9.11, e elas visam resolver dois problemas completamente diferentes.
DNS RRL
A primeira forma de limitação de taxa é a limitação de taxa de resposta de DNS , geralmente chamada de DNS RRL. Você pode ler mais sobre a especificação aqui . Ele é implementado por vários daemons de servidor de nomes autorizados e não é específico para ISC BIND.
O DNS RRL foi projetado para proteger servidores DNS autoritativos, mas o BIND não o impedirá de ativar esse recurso em servidores recursivos. Muitos usuários se deparam com as opções relacionadas na documentação do BIND e assumem que elas devem ser usadas com servidores DNS recursivos. Este não é o caso. Não ative isso em um servidor recursivo.
Se você estiver executando um servidor que fornece dados autoritativos e recursão, não deveria estar fazendo isso de qualquer maneira. Ao executar essa configuração, você aceitou os problemas adicionais que a acompanham. Não podemos ajudá-lo com isso.
FETCHLIMIT
O artigo da base de conhecimento ISC para o código fetchlimit do BIND é intitulado Limitação de taxa de cliente recursiva no BIND 9.9.8 e 9.10.3 , o que torna as coisas confusas. Isso não tem nada a ver com DNS RRL.
Ao contrário do DNS RRL, o código fetchlimit é projetado para abordar estratégias de ataque DNS que fazem com que um servidor recursivo participe de ataques contra servidores autoritativos. Especificamente, essas opções são projetadas para reduzir o número de consultas simultâneas que seu servidor recursivo fará para IPs de servidores DNS autorizados individuais e/ou domínios DNS individuais. Isso torna seu servidor menos atraente para uso em ataques Psuedo Random Subdomain (contra outros) e também ajuda a limitar o impacto em seus próprios servidores DNS quando eles estão sendo usados nesse tipo de ataque. (esgotamento portuário efêmero, etc.)
Isenção de responsabilidade
Embora este Q&A seja fornecido para ajudar a esclarecer as diferenças frequentemente confusas no código de limitação de taxa fornecido pelo ISC BIND, nenhuma delas é uma solução abrangente para o abuso de um servidor DNS recursivo. Somente o último se destina ao uso com um servidor DNS recursivo e, mesmo assim, é projetado para lidar com uma forma específica de ataque que frequentemente afeta os operadores de ambientes DNS recursivos de alto volume.
Se o seu ambiente DNS recursivo estiver sendo usado para atacar outros, os recursos de limitação de taxa do BIND são uma pista falsa , a menos que você já tenha implementado todas as outras práticas recomendadas. (não execute um resolvedor aberto, evite interfaces voltadas para a Internet em servidores DNS recursivos em geral, descarte o tráfego de redes desconhecidas antes que ele atinja o servidor recursivo etc.) A limitação de taxa é um valor agregado que você aplica além de seu outro abuso reduzir estratégias. Não é uma substituição para eles.