已經停用了,但因連入的DNS UDP Connecitons量太大,在沒有限制單一IP
Connections時,還會造成Firewall CPU接近100%,雖然沒當,但慢~~
問題是它還是不斷的攻擊,目前攻擊的Connections大概維持在300~600之間,所以頻寬還是會被吃掉10%左右...
不知有沒有判法從Firewall或從Server上判斷超過512Bytes以上的DNS UDP Connections就直接丟棄或阻絕掉?

查查看你現有的Firewall可不可以設定Policy單一IP service port udp 53 session/ip
我家的有此功能

我家的Firewall無法針對Service來限制,但可針對來源或目的的IP來限制Session數
目前是設定128,是可以考慮再調小.

也有考慮換新的Firewall,新的就可以針對單一Access Rule來限制單一IP Session
數,也等於可以針對Service來限制.

UDP 進來的 traffic, 要靠 ISP 才能擋.
Server 回去的 packet, 如果前端有 UTM or IPS, 應該可以自訂 rule drop 掉.

DNS UDP Packet是可以drop掉的,但目前仍有對外服務,如果drop掉,就沒法回應domain中的資料了,

我指的是,只drop掉root hint的reply,而非全部drop.
BIND DNS可以透過disable recursion和additional-from-cache,做到只回自己host的DNS domain的query.
但Windows DNS只能disable recursion,所以對方來問其他domain,還是會回root hint.
這還是會消耗 upload 頻寬.

了解了,感謝,這是個好方法,我再測看看,謝啦~~

我Deny掉root hint之後,有幫助,被攻擊回應的資料從1600Bytes降至900Bytes以下,
不過可惡的是,攻擊的Connections量增加了,又多了一堆不同的IP進來,現在
Firewall CPU飆到80%以上了...

遇到這種UDP DDos最麻煩,上游(ISP)不做事,下游只有挨打的份.
就算把DNS host到外面,攻擊者硬要往你的IP address灌,頻寬和firewall CPU還是會被灌爆.
打電話問刑事警察局偵九隊,遇到這事能怎麼辦?