Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
878 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  Logiciels

  solution serveur DNS : bind, powerdns ou nsd ?

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

solution serveur DNS : bind, powerdns ou nsd ?

n°1356022
Torlik
Posté le 09-04-2014 à 22:45:41  profilanswer
 

salut,
 
je suis actuellement en train d'étudier les différentes solutions pour dns
les 3 cités dans le titre me conviendrait. Mais je n'arrive pas à trouver l'information : est-ce que powerdns est capable, oui ou non, de faire du rate limit (ddos tou ça) ?
 
Merci

mood
Publicité
Posté le 09-04-2014 à 22:45:41  profilanswer
 

n°1356342
conf_t
Posté le 15-04-2014 à 08:22:27  profilanswer
 

Bonjour,
 
Tu ne précises pas l'OS utilisé mais je vais admettre que c'est une distribution GNU/Linux quelconque. Personnellement je ferais le rate limit directement via iptables. Pour le choix entre les différentes solutions de serveur DNS, essayes les tous et utilises celui qui te convient.
 
Pour ma part, ayant des serveurs DNS exposés sur Internet, j'ai choisi nsd qui ne fait pas (par design) de récursion.


---------------
Solutions Internet & Hébergement Web - http://www.adresse-numerique.com/
n°1356451
Torlik
Posté le 16-04-2014 à 20:25:51  profilanswer
 

merci de ta réponse
la distrib sera debian ou centos
 
quel avantage de faire ça directement par iptables ?
c'est effectivement exposé sur internet, c'est un FAI associatif.
 
nsd ne fait pas de récursion mais unbound oui.
 
mais au final, est-ce powerdns a la fonction rate limit ou non ? pour ma culture g

n°1356455
o'gure
Modérateur
Multi grognon de B_L
Posté le 16-04-2014 à 20:42:05  profilanswer
 

http://www.bortzmeyer.org/rate-limiting-dos.html
http://www.bortzmeyer.org/rate-lim [...] olver.html


Message édité par o'gure le 16-04-2014 à 20:42:24

---------------
Relax. Take a deep breath !
n°1356567
Torlik
Posté le 17-04-2014 à 20:20:38  profilanswer
 

merci !

n°1356756
e_esprit
Posté le 19-04-2014 à 16:14:48  profilanswer
 

Une autre recommandation (émanent du même auteur :D) est d'utiliser au moins 2 solutions différentes pour tes serveurs DNS, comme ça en cas de faille connue sur l'un d'eux, t'en as toujours un qui n'y est pas sensible ;)

Message cité 1 fois
Message édité par e_esprit le 19-04-2014 à 16:15:15

---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
n°1356758
o'gure
Modérateur
Multi grognon de B_L
Posté le 19-04-2014 à 17:57:01  profilanswer
 

e_esprit a écrit :

Une autre recommandation (émanent du même auteur :D) est d'utiliser au moins 2 solutions différentes pour tes serveurs DNS, comme ça en cas de faille connue sur l'un d'eux, t'en as toujours un qui n'y est pas sensible ;)


C'est une best practice en sécurité. Si chainage de deux firewalls => fw différent , deux technos de raccordements wan, deux fournisseurs différents (bon sauf s'il s'agit d'un truc ce chez nous un [:whatde])


Message édité par o'gure le 19-04-2014 à 17:57:57

---------------
Relax. Take a deep breath !
n°1357007
Torlik
Posté le 23-04-2014 à 12:21:18  profilanswer
 

https://groups.google.com/forum/#!t [...] 4PeJfyr3MQ
 
Bortzmeyer :

Citation :


If you have a DNS server used for reflection+amplification attacks
*and* it is a Linux machine *and* you have Netfilter >= 1.4 *and* you
cannot or does not want to install the patches for BIND or NSD to do
rate-limiting (they may provide a better result) *and* the attack is
over IPv4 *and* the attacker uses only a few domain names, you could
be interested in the technique we use. Disclaimer: it works for us, it
will not work for ever, it works now.  


 
Il dit bien que la fonction rate limiting de bind ou nsd peut être plus efficace que netfilter...

Message cité 1 fois
Message édité par Torlik le 23-04-2014 à 12:22:13
n°1357009
o'gure
Modérateur
Multi grognon de B_L
Posté le 23-04-2014 à 12:30:03  profilanswer
 

Torlik a écrit :

https://groups.google.com/forum/#!t [...] 4PeJfyr3MQ

 

Bortzmeyer :

Citation :


If you have a DNS server used for reflection+amplification attacks
*and* it is a Linux machine *and* you have Netfilter >= 1.4 *and* you
cannot or does not want to install the patches for BIND or NSD to do
rate-limiting (they may provide a better result) *and* the attack is
over IPv4 *and* the attacker uses only a few domain names, you could
be interested in the technique we use. Disclaimer: it works for us, it
will not work for ever, it works now.

 

Il dit bien que la fonction rate limiting de bind ou nsd peut être plus efficace que netfilter...


Citation :

The idea is to use the Netfilter u32 module to recognize the attack,
then to rate-limit it with the Netfilter hashlimit module.


Tant qu'à quoter, autant quoter tout. Meilleur que le module u32 qui de par sa nature même peut être moins performant oui, ça se comprend :D
Pour rappel, u32 rentre dans le payload à la recherche d'un pattern...


Message édité par o'gure le 23-04-2014 à 12:31:29

---------------
Relax. Take a deep breath !
n°1357046
Torlik
Posté le 23-04-2014 à 16:41:02  profilanswer
 

Ca change quoi cette partie ?
Si ton  DNS ne fait pas de rate limiting => netfilter => netfilter u32 module
 
Donc comme tu le dis, moins performant. Etant donné que le DNS n'est pas en place, j'ai autant à partir sur un qui a la fonction.
 
Sinon pour me répondre, powerdns ne fait pas de rate limiting, j'ai été demandé sur leur irc.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  Logiciels

  solution serveur DNS : bind, powerdns ou nsd ?

 

Sujets relatifs
Serveur Linuxserveur dhcp + nat
Problèmes sur DNS, port 25 bloquéMise en place d'un Serveur Web/Fichier/Media et virtualisation
Proftpd sur un serveur derrière une livebox - LIST impossible (err425)Serveur Maison [Résolu]
android et passerelle DNS [Dédié] Site ne répond plus aux ping sur serveur Centos
Debug serveur CentosPartition Serveur DEBIAN kimsufi
Plus de sujets relatifs à : solution serveur DNS : bind, powerdns ou nsd ?

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.096 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR