行至水穷处 坐看“云”起时

Cloud Native ADN -> CNadn.Net

林夏写的DNS DOS防范文档,比较落地哦

很不错的文档,林夏同学所写,非常棒!

如何获得下载密码,请微信关注 F5技术 订阅号后,回复downloadpwd

或微信扫描立刻关注

《林夏写的DNS DOS防范文档,比较落地哦》

微信公众号

说明一点:对于一个普通的DNS 反射攻击,即 A到B上解析, 但让B将response直接发给F5,这种攻击,F5原生的设计结构就可直接阻挡,无需特殊设置。

若dns 请求本身是一些畸形包,例如刻意将request里的answer设置为1,这样的包F5处理,并可能会透传给后端,对于这样的畸形包,一方面考虑使用dns dos profile来设置报警,另一方面使用dns protocol security功能进行过滤,如果还不能过滤掉,则可以考虑根据特征编写irule进行阻挡,比如request请求包中的answer=1这样的包触发不了dns_request事件,可以利用这个特征,在server connected事件中进行包丢弃。

 

点赞