「DNS Attack」 「DDoS攻撃」 「DNS amp」 に対応する!RTX1200
ネットが以上に遅い。。。調査開始。。。
誰かがDNS QueryをうちのDNSへ投げまくって、RTX1200ルーターがCPU振り切ってる!!!
ちなみに「iri.so」「qww1.ru」のDomain名で大量に来てる
使用環境「RTX1200 Rev.10.01.53」
■NAT masqueradeのセッション数を制限する
nat descriptor masquerade session limit 1 1 2000
RTX1200は20000個までいけるが、1つのNATで2000個までに制御する
■Qos制御(Dynamic Class Control)
speed lan2 1000m
queue lan2 type shaping
queue lan2 class property 1 bandwidth=900m,1000m
queue lan2 class property 2 bandwidth=90m,1000m
queue lan2 class property 4 bandwidth=200k
queue lan2 class property 5 bandwidth=100k
queue lan2 class control 4 forwarding=5 watch=destination threshold=10%,20 time=86400
queue class filter 1 4 ip (DMZ内のDNS IP) * udp domain *
queue class filter 2 1 ip * * * * *
pp select 1
queue pp class filter list 1 2
pp select none
注意1 なぜか?VPN用のTunnelがあるのだがここを通るパケットが勝手にclass2へ流れてしまうようだ。。。「queue tunnel class filter list 2」と設定しclass1へ流れるように指定しclass2を消してもclass2が勝手に作られてそちらに流れてしまう。。。はて?取り急ぎ、class2も作成し、class4,class5で調整する。(RTX1200の不具合か?設定ミスなのか。。。)
注意2 Config修正した際に変更が正しく反映されず、再起動が必要となる場合があった(詳しく調べていないが、なんらかのClear処理が必要かもしれない)
注意3 Yamahaの「Dynamic Class Control」と「帯域制御」は少し違うので注意が必要
■帯域制限について
説教部屋を作成
・WANからpp=LAN2に対してDMZ内のDNS Serverに対する53port(domain)のアクセスを見張りclass4へ誘導する
(その他通信はClass1へ誘導)
・「watch=destination」の設定でDNS Serverに対する過重アクセス元となるGlobalIPをターゲットにする。
・class4、200kbpsの10%を20秒以上連続したアクセス(GlobalIP)に対して24時間(time86400)はclass5へ移動させる。(様子見としてrejectしていない)
うちの環境ではこれで撃退可能となりました。
確認コマンド
show status qos all
帯域制限のみで対応可能と思われるが、念のためNATセッション数も絞ってみた。
相変わらずガンガン来てるけど、スイスイのネットワークに戻りました☆