<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:#954F72;
text-decoration:underline;}
span.E-mailStijl17
{mso-style-type:personal-compose;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 70.85pt 70.85pt 70.85pt;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="NL" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal"><span lang="EN-US">Hi all,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">We have great problem’s we are under DNS amplification attack to one of our zones.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Is there a way to block the ANY request type ?<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">server:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # uncomment to specify specific interfaces to bind (default wildcard interface).<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # ip-address: 1.2.3.4<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # ip-address: 1.2.3.4@5678<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # ip-address: 12fe::8ef0<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # don't answer VERSION.BIND and VERSION.SERVER CHAOS class queries<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> hide-version: yes<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # enable debug mode, does not fork daemon process into the background.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # debug-mode: no<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # listen only on IPv4 connections<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # ip4-only: no<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # listen only on IPv6 connections<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # ip6-only: no<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # the database to use<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> database: "/var/lib/nsd/nsd.db"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # identify the server (CH TXT ID.SERVER entry).<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> identity: "ns1.somedomain.tld"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # NSID identity (hex string). default disabled.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # nsid: "aabbccdd"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # log messages to file. Default to stderr and syslog (with facility LOG_DAEMON).<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> </span>logfile: "/var/log/nsd.log"<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> <span lang="EN-US"># Number of NSD servers to fork.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # server-count: 1<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # Maximum number of concurrent TCP connections per server.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # This option should have a value below 1000.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> tcp-count: 1000<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # Maximum number of queries served on a single TCP connection.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # By default 0, which means no maximum.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # tcp-query-count: 0<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # Override the default (120 seconds) TCP timeout.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # tcp-timeout: 120<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # Preferred EDNS buffer size for IPv4.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # ipv4-edns-size: 4096<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # Preferred EDNS buffer size for IPv6.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # ipv6-edns-size: 4096<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # File to store pid for nsd in.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # pidfile: "/var/run/nsd/nsd.pid"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # port to answer queries on. default is 53.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # port: 53<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # statistics are produced every number of seconds.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> statistics: 3600<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # Run NSD in a chroot-jail.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # make sure to have pidfile and database reachable from there.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # by default, no chroot-jail is used.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # chroot: "/etc/nsd3"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # After binding socket, drop user privileges.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # can be a username, id or id.gid.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # username: nsd<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # The directory for zonefile: files.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # zonesdir: "/etc/nsd3"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> zonesdir: "/etc/nsd/zones"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # The file where incoming zone transfers are stored.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # run nsd-patch to update zone files, then you can safely delete it.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> difffile: "/var/lib/nsd/ixfr.db"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # The file where secondary zone refresh and expire timeouts are kept.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # If you delete this file, all secondary zones are forced to be<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # 'refreshing' (as if nsd got a notify).<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> xfrdfile: "/var/lib/nsd/xfrd.state"<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # Number of seconds between reloads triggered by xfrd.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> xfrd-reload-timeout: 10<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> # Verbosity level.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> verbosity: 5<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> #reduce rate limite from default 200 query per second<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"> rrl-ratelimit: 15<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">We are blocking the current any request in our iptables
<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">$IPTABLES -A INPUT -p udp --dport 53 -m string --hex-string "|00ff|" --algo bm --from 40 -j DROP -m comment --comment 'Block ANY requests'<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">$IPTABLES -A INPUT -p tcp --dport 53 -m string --hex-string "|00ff|" --algo bm --from 40 -j DROP -m comment --comment 'Block ANY requests'<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">This what we see in the log file:<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">nsd[30527]: info: ratelimit block somedomain.tld. type any target 123.123.123.0/24 query 123.123.123.0 TYPE255<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">nsd[30527]: info: ratelimit unblock somedomain.tld. type any target 123.123.123.0/24 query 123.123.132.10 TYPE255<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">any idea howto stop these attacks are welkom<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US">Bas<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>
</div>
</body>
</html>