回答:
1つのDNSクライアントが1秒間に取得できる同一の応答の数を制限します。このwindow 5
オプションは、5 * 5応答のバーストを許可します。
「同一の応答」と「単一のDNSクライアント」は、ここでは少し明白でない用語です。詳細については、こちらをご覧ください。http://web.archive.org/web/20140209100744/http://ss.vix.su/~ vjs / rl-arm.html。
一般的にレート制限するのは良いことです-いつかDOS攻撃の場合に役立つでしょう。ほとんどの場合、デフォルトで問題ありません。
window
各「単一のDNSクライアント」に送信された「同一の応答」が追跡される期間を制御するためにのみ使用されます。BIND 9管理者リファレンスマニュアルの状態:[クライアントのRRL]アカウントは毎秒制限よりもより積極的になることができないかよりもマイナスwindow
回毎秒制限。 Vernon Schryverによるこのメッセージは、アルゴリズムの動作をより詳細に説明しています。
BIND 9.9の管理者リファレンスマニュアルをお読みください。
基本的にresponses-per-second
は、1秒間に1つの宛先に送信できる同一の応答の数です。定義はトリッキーです。
単一の宛先は、ネットワークアドレスのブロックであり、サイズは該当するipv4-prefix-length
か、またはipv6-prefix-length
適宜構成されます。あれば、ipv4-prefix-length
24で、両方192.0.2.1
と192.0.2.2
DNSサーバーを照会している、彼らはこのクォータを共有するだけで彼ら二人の間に非常に多くのクエリを送信することができます。
同一の応答とは、特定の存在する名前または存在しない名前に対する特定のRRtypeに対するクエリへの応答です。次のクエリはすべて異なります。
IN A example.net.
IN A www.example.net.
IN AAAA example.net.
IN A nonexistent.domain.example.net.
ただし、以下のクエリはすべて同じです(nonexistent.domain.example.net.
その名前などが想定どおりであると仮定)。
IN A nonexistent.domain.example.net.
IN A nonexistent.domain2.example.net.
IN SOA other.nonexistent.domain.example.net.
window
物事をもう少し複雑にします。これは、クォータをバンクできる秒数です。乗算してwindow
、responses-per-second
任意の割り当て量がプラスになる最大値、またはより基本的にはバースト容量を与えます。
キャッチオールの例を挙げましょう:
あなたはの非再帰的な権威ネームサーバーですexample.net.
。過去10秒間にDNSトラフィックがまったく見られず、質問の構成がグローバルに適用されているとします。次のイベントが順次発生します。
IN NS example.net.
。25が許可され、残りの75は無視されます。IN A nonexistent.example.net.
。25が許可され、残りの75は無視されます。IN MX nonexistent-domain.example.net.
は、存在しないドメインの制限に達したため無視されます。IN A example.net.
。許可されています。IN NS example.net.
。それらの25は返信を受け取り、残りの25は無視されます。198.51.100.0/24の割り当てはこれらのホストには適用されませんが、192.0.2.0 / 24の割り当てを共有します。IN NS example.net.
。割り当ては1秒あたり5つのクエリによってのみ補充されるため、そのうちの5つは応答を受け取り、残りの20つは無視されます。iptables -A INPUT -p udp --dport 53 -m recent --set --name dnslimit
iptables -A INPUT -p udp --dport 53 -m recent --update --seconds 60 --hitcount 11 --name dnslimit -j DROP
IPtablesも同様に機能します。攻撃が見つかった場合、サービスからトラフィックを完全に遮断します。
私はレート制限するのは良い考えではないと思います。自分自身に質問してください。あなたはWebサーバーの応答もレート制限していますか?DNS応答がWebサーバー応答ほど重要ではないと思うのはなぜですか?
レート制限を行ったとしても、その5リクエスト/秒は非常に低く聞こえます。