配置 DNS 响应速率限制 - BlueCat Integrity - 9.5.0

管理指南
Locale
中文 (大陆)
Product name
BlueCat Integrity
Version
9.5.0

Address Manager 包括对 DNS 配置的 DNS 响应速率限制,以便更好地防范 DDoS 攻击。响应速率限制是一种限制 DNS 服务器响应速率的方法,可以减少 DNS 反射和放大攻击的影响。

它适用于权威服务器。这些种类的攻击使用了远距离无法检测到的错误源 IP 地址。如果 DNS 服务器响应来自这些 IP 地址的查询而没有速率限制,有可能会向未请求响应的 IP 地址发送大量的响应流。响应速率限制设置了从 DNS 服务器发送的响应数量的上限,有效地抑制了攻击。

可以通过从 Address Manager 用户界面添加 DNS Raw 选项来配置 DNS 响应速率限制。BlueCat 建议在服务器级别配置此 DNS Raw 选项。

要配置 DNS 响应速率限制:

  1. 以管理员身份登录 Address Manager 用户界面。
  2. 选择服务器选项卡。选项卡会记住上次处理的页面,因此请再次选择该选项卡以确保您在配置信息页面上。
  3. 服务器下,单击 DNS 服务器。将打开服务器的详情选项卡。
  4. 选择部署选项选项卡。
  5. 部署选项下,单击新建并选择 DNS Raw 选项
  6. 下,在 Raw 数据字段中输入以下内容: 
    rate-limit {
    responses-per-second <value>;
    window <value>;
};
    作为起点,BlueCat 建议使用以下参数配置 DNS 响应速率限制(值取决于环境):
    • responses-per-second — 请求者在一秒间隔内被告知相同答案的最大次数。
    • errors-per-second — 类似于每秒响应数,但仅适用于 REFUSED,FORMERR 和 SERVFAIL 响应代码。
    • log-only — 一种测试模式,实际上没有丢弃响应但仍然发生标准日志记录(真或假)
    • window — 对速率进行测量和平均的周期(以秒为单位)。
    注: 其他可配置的 DNS RRL 参数可用。请联系 BlueCat 客户服务中心,我们会为您提供有关详情,并帮助您确定这些是否适用于您的环境:https://care.bluecatnetworks.com
  7. 切换控制下,根据需要添加注释。
  8. 单击添加
  9. 部署 DNS