Embora eu queira sinceramente que o ISC documentaria melhor esses recursos para os usuários com um nível de experiência abaixo de "expert", isso é uma ilusão. Existem duas implementações separadas de limitação de taxa dentro do BIND a partir de 9.11, e elas são direcionadas a resolver dois problemas completamente diferentes.
DNS RRL
A primeira forma de limitar a taxa é Limitação da taxa de resposta do DNS , geralmente chamado de DNS RRL. Você pode ler mais sobre a especificação aqui . Ele é implementado por vários daemons de servidores de nomes oficiais e não é específico para o ISC BIND.
O DNS RRL foi projetado para proteger servidores DNS autoritativos, mas o BIND não impedirá que você ative esse recurso em servidores recursivos. Muitos usuários se deparam com as opções relacionadas na documentação do BIND e assumem que eles são destinados para uso com servidores DNS recursivos. Este não é o caso. Não habilite isso em um servidor recursivo.
Se você estiver executando um servidor que forneça dados autoritativos e recursão, você não deve fazer isso de qualquer maneira. Ao executar essa configuração, você aceitou os problemas adicionais que a acompanham. Não podemos ajudá-lo com isso.
FETCHLIMIT
O artigo da Base de Conhecimento do ISC para o código fetchlimit do BIND é intitulado Limitação recursiva da taxa do cliente no BIND 9.9.8 e 9.10.3 , o que torna as coisas confusas. Isso não tem nada a ver com o DNS RRL.
Diferentemente do DNS RRL, o código fetchlimit foi projetado para abordar estratégias de ataque DNS que fazem com que um servidor recursivo participe de ataques contra servidores autoritativos. Especificamente, essas opções são projetadas para reduzir o número de consultas simultâneas que seu servidor recursivo fará para IPs de servidor DNS autoritativos individuais e / ou domínios DNS individuais. Isso torna seu servidor menos atraente para uso em ataques de subdomínio aleatório do Psuedo (em relação a outros) e também ajuda a limitar o impacto em seus próprios servidores DNS quando eles estão sendo usados nesse tipo de ataque. (exaustão do porto efêmera, etc.)
Aviso de isenção
Embora este Q & A seja fornecido para ajudar a esclarecer as diferenças frequentemente confusas no código de limite de relevância fornecido pelo ISC BIND, nenhuma delas é uma solução abrangente para o abuso de um servidor DNS recursivo. destina-se a ser usado com um servidor DNS recursivo e, mesmo assim, foi projetado para lidar com uma forma específica de ataque que frequentemente atormenta os operadores de ambientes DNS recursivos de alto volume.
Se o seu ambiente DNS recursivo está sendo usado para atacar outras pessoas, os recursos de limitação de taxa do BIND são um verdadeiro , a menos que você já tenha implementado todas as outras práticas recomendadas. (não execute um resolvedor aberto, evite interfaces voltadas à Internet em servidores DNS recursivos em geral, elimine tráfego de redes desconhecidas antes que ele atinja o servidor recursivo, etc.) A limitação de taxa é um valor agregado que você aplica além de suas outras estratégias de redução de abuso. Não é um substituto para eles.