求助：日志老报no more recursive clients : quota reached

屠龙

FreeBSD是稳定安全的系统，你可以在防火墙和系统变量中设置防止攻击：

/etc/sysctl.conf（防止泛洪攻击）
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1

/etc/rc.conf
tcp_drop_synfin="YES"
icmp_drop_redirect="YES"

/etc/ipfw.conf
add 00100 deny log ip from any to any ipopt rr
add 00200 deny log ip from any to any ipopt ts
add 00300 deny log ip from any to any ipopt ssrr
add 00400 deny log ip from any to any ipopt lsrr
add 00500 deny tcp from any to any in tcpflags syn,fin
add 00600 deny icmp from any to any icmptypes 0
add 00700 deny icmp from any to any icmptypes 8
add 00800 check-state
add 00900 allow tcp from any to any out keep-state setup
add 01000 allow all from any to any via lo
add 01100 allow tcp from any to any out
add 01200 allow udp from any to any out
add 01300 allow udp from any 53 to me in recv 网卡设备名
add 01400 allow udp from any to me 53 in recv 网卡设备名
add 09999 deny all any from any to any

此外，FreeBSD推荐使用的BIND版本是8.3.4或8.3.6，因为9.0及其以上版本太复杂了，安全性、稳定性无法控制。BSD的另一个版本——号称最安全的，连续3年不出安全问题的系统——OpenBSD甚至还在使用4.x的BIND，据我所知，大多数ISP的BIND版本也是8.x的。毕竟稳定是第一位的，不要追求高版本。
因此我建议你使用FreeBSD4.8所带的BIND8.3.4，并按以下说明打补丁：
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:19.bind.asc

ports

原帖由 "屠龙" 发表：
FreeBSD是稳定安全的系统，你可以在防火墙和系统变量中设置防止攻击：

/etc/sysctl.conf
net.inet.tcp.blackhole=2

/etc/rc.conf
tcp_drop_synfin="YES"
icmp_drop_redirect="YES"

/etc/ipfw.conf
add ..........

你的回答好像跟这个帖子没什么关系么？
这样设置防火墙有什么用？
“FreeBSD推荐使用的BIND版本是8.3.4或8.3.6，因为9.0及其以上版本太复杂了，安全性、稳定性无法控制”
谁说的？

每个recursive-clients需要20k的内存，
最好不要设置太大。
这个问题对公网上的DNS比较难办，
最好的方法是对log进行分析，及时过滤那些非安全的IP地址。

jsquan

原帖由 "ports" 发表：


你的回答好像跟这个帖子没什么关系么？
这样设置防火墙有什么用？
“FreeBSD推荐使用的BIND版本是8.3.4或8.3.6，因为9.0及其以上版本太复杂了，安全性、稳定性无法控制”
谁说的？

每个recursive-clients需..........

1、谢谢。ports。我已经按你在BSD论坛中回答我的问题所说，将FreeBSD
那个补丁在ns2上打上了。

2、我目前ns2用的最新的bind9.3.0beta3　（呵呵，刚装上，isc.org又出了beta4了)。ns1由于承担的业务较多，暂时还是用9.2.2。

3、ns2打了FreeBSD补丁，也升级了bind到最新版。但有时还是通过dnstop
可以看到某个网内的宽带用户源IP地址一直显示在最顶端（也就是不正常）。我
认为是bind 的dos攻击。但还好，在没有打补丁和升级bind的ns1上和ns2上，
都没有在/var/log/messages中弹出大量的no more .... quota reached信息。所以我也没有管他。

4、目前ns2　将recursive-clients=20000，并且装好了rndc和dnstop两个工具。比较有用。rndc status 结果输出tcp clients=0，没有什么变化。所以
我也一直没有修改named.conf，并在其增加tcp clients数目（isc说该参数
默认值是100）。ns1 也将recursive-clients=10000。估计是recursive-clients参数调高的缘故，在受疑似bind dos攻击时，/var/log/messages没有
弹出上述错误信息，并且ns1和ns2都能正常处理用户的域名query。只是在ns1和ns2的dnstop上看到最顶端的源攻击IP罢了。反正影响不大，我也不打算再理会。。。，毕竟还有别的工作要做。

5、按ports的算法，每个recursive-clients要消耗掉约20Kbit memory，如果
recursive-clients=20000，那要耗掉200M　memory左右。幸好，我的ns1和ns2都有1G内存。

zzzaaaqqq

各位老大，光升BIND是没法解决这个问题了，靠限IP事实上也是不可行的，我的网内用户中毒的就不少，我总不能把他们都限了，用户全是动态地址呵，我限了他的IP，他不能解析了，他重拨下，又上来继续攻，我再看日志封他，这样我不被玩死了。如果你的主机够强，前面的四层设备够强，把这个recursive clients改到极大值，100W？200W，除非这些用户能每秒发出上千个查询包来，一定是能顶住的。
   另外IPFW防火墙不能自动防御，我抓过包，对方发过来的全是正常的DNS请求，不是SYNC，另外DNS请求是UDP的，也没法从操作系统上限制某IP最大的TCP连接数。我试过PIX什么的都不行。
   还有就是自写角本，自动把这些攻击IP写到IPFW里，这个我也试过，少量用户管用，人数一多，主机上的反应太慢，等角本发现的时候，bind的负载已经是90%以上了，打进来的投诉电话就够受的了。
   更可怕的是DNS前的四层交换机被攻击session撑到负载100%，用户开始丢包。。。。。
   解决方案：
1，DNS主机足够强，作负载均衡的前面四层交换机也要够强
2，采用足够严厉的手段，有攻击嫌疑的外部IP一律封掉，网内用户也一样封，最好封用户账号，这样你可要顶住压力呵
3，上安全设备，这个是我没试过的，大家可以讨论讨论，什么防火墙具备这种自动防御功能，会自动屏蔽超UDP请求超过一定速率的IP，如果防火墙作不到，那要上IDS了，我相信IDS能做到该功能，但那个的价格。。。
强烈要求置顶讨论，这个问题是折腾无数管理员的事，推荐产品也行，但希望是切实可行的

ports

原帖由 "jsquan" 发表：

……按ports的算法，每个recursive-clients要消耗掉约20Kbit memory……

20Kbytes

guliny

不幸，我们的内部dns也有这个报错，此服务器上传流量达12MBYTE，：（

guliny

2.6.18-128.el5的系统，估计bind版本有点旧了，升级下看看。