klink0v | DDoS на DNS

... Не знаю, все ли видели новость про npm и axios. Учитывая количество ~~быдлокодеров~~ фронтендеров и вайб-кодеров, астрологи объявляют неделю пополнения ботнетов.

... Опять же не знаю, связано ли как-то с предыдущей новостью или нет. Но прямо сейчас DNS-сервера моей конторы жестко дудосят. С пресловутых ботнетов. Которые размещены главным образом на сетях Google, Microsoft. Но и во всяких Яндексах-Селектелах тоже есть.

Причем, атака довольно мерзотная. Идет на порт TCP:53. Открывается соединение, "ради приличия" запрашивается что-нибудь, а потом TCP-сессия просто висит в "Established". Клиентский пул DNS-сервера переполняется, он перестает отвечать на запросы. Но не на все. UDP продолжает откликаться, а вот DNSSec, EDNS и трансферы зон идут лесом.

И что с этим всем делать, мне непонятно. Я конечно как мог накидал диапазонов в NFTables, но это не решение, а костыль. Нужен, видимо, какой-то другой DNS-сервер, который устойчив к подобному свинству. Но какой?

... Вроде ЖЖ теперь "исконно российский", "Сбер, Родина", все дела. Но чё-то "l-stat.livejournal.net", торчащий где-то на сетях Мегафна, ни черта не отккликается. Доблокировались-с...

Всех с днём дурака, всесильного и вездес(с)ущего.