Tak się składa, że od dawna mam pod opieką kilka serwerów z bindem i ostatnio nasiliły się ataki ddos. Jeśli łącze ma dużą przepustowość, a komputer mocny, to można nie zauważyć tego od razu, ale w moim przypadku takie ataki okazały się zdecydowanie wkur...
W związku z tym przygotowałem paczkę z wersją 9.9.1 binda, aby ewentualne exploity na starsze wersje zneutralizować. Jest to do pobrania z repozytorium z katalogu update. Instalujemy przez pacman -U.
Oczywiście to jeszcze nie zapewni nam spokoju. Niezbędny jest jeszcze fail2ban, w którym ustawiamy "true" w sekcji [named-refused-udp].
Sprawdzamy jeszcze, czy na pewno bind pisze w logach. Jeśłi zastosowaliśmy binda w chroocie, to logi mamy odpowiednio w /etc/bind/var/log. Warto też sprawdzić logrotate, czy wszystko jest dobrze ustawione.
Czas banowania można zwiększyć, Ja ustawiłem na 3600.