Puščanje DNS: kaj je to in kako ga odpraviti s pripomočkom DNSCrypt. Lekcije Wireshark: ogled prometa DNS, vrednotenje pripomočka DNSCrypt

Zaščita DNS povezav za paranoike

Če uporabljate VPN, menite, da nihče ne vohuni za vami in da so preneseni podatki zaščiteni? Motiš se. Zdaj bom poskušal pojasniti, zakaj.

NA KRATKO O DNSCRYPT

Ko uporabljate HTTPS ali SSL, je vaš promet HTTP šifriran, kar pomeni, da je zaščiten. Ko uporabljate VPN, je ves vaš promet že šifriran (seveda je vse odvisno od nastavitve VPN, vendar je praviloma tako). Toda včasih, tudi ko uporabljate VPN, vaše poizvedbe DNS niso šifrirane, poslane so takšne, kot so, kar odpira veliko prostora za ustvarjalnost, vključno z napadi MITM, preusmeritvijo prometa in še veliko več.

Tu na pomoč priskoči odprtokodni pripomoček DNSCrypt, ki so ga razvili znani ustvarjalci OpenDNS - programa, ki omogoča šifriranje zahtev DNS. Po namestitvi na vaš računalnik bodo zaščitene tudi vaše povezave in varneje boste lahko brskali po internetu in si ogledovali oblikovanje zunanje oglaševanje . DNSCrypt seveda ni zdravilo za vse težave, ampak le eno od varnostnih orodij. Še vedno morate uporabljati povezavo VPN za šifriranje celotnega prometa, vendar bo združevanje z DNSCrypt bolj varno. Če ste zadovoljni s tako kratko razlago, lahko takoj preidete na razdelek, kjer bom opisal namestitev in uporabo programa.

ZA PRAVE PARANOIKE

Poskusimo razumeti globlje. Ta razdelek je za resnično paranoične. Če cenite svoj čas, lahko takoj nadaljujete z namestitvijo programa.

Torej, kot pravijo, je bolje videti enkrat kot slišati stokrat. Recimo, da stranka poskuša vzpostaviti stik z dkws.org.ua. Prva stvar, ki jo mora narediti, je razrešiti simbolično ime gostitelja v naslov IP. Če je omrežna konfiguracija takšna, da se uporablja ponudnikov DNS strežnik (nešifrirana povezava, rdeča črta na sliki), se razrešitev simboličnega imena v naslov IP zgodi prek nešifrirane povezave.

Da, nihče ne bo vedel, katere podatke boste posredovali dkws.org.ua. Obstaja pa nekaj zelo neprijetnih trenutkov. Prvič, ponudnik bo lahko z vpogledom v dnevnike DNS ugotovil, katera spletna mesta ste obiskali. Ali ga potrebujete? Drugič, verjetno je možnost napadov DNS spoofing in DNS snooping. Ne bom jih podrobno opisoval, o tem je bilo napisanih že veliko člankov. Na kratko bi lahko bila situacija naslednja: nekdo med vami in ponudnikom lahko prestreže zahtevo DNS (in ker zahteve niso šifrirane, ne bo težko prestreči zahteve in prebrati njene vsebine) in vam pošlje “ lažni odgovor. Posledično boste namesto obiska dkws.org.ua odšli na spletno stran napadalca, ki je natanko takšna, kot jo potrebujete, vnesli boste svoje geslo s foruma, nato pa se mi zdi razvoj dogodkov jasno.

Opisana situacija se imenuje uhajanje DNS. Do uhajanja DNS pride, ko vaš sistem, tudi po povezavi s strežnikom VPN ali Tor, še naprej poizveduje strežnike DNS ponudnika internetnih storitev za razrešitev imen domen. Vsakič, ko obiščete novo spletno mesto, se povežete z novim strežnikom ali zaženete omrežno aplikacijo, se vaš sistem poveže z DNS vašega ponudnika internetnih storitev, da razreši ime v IP. Posledično lahko vaš ponudnik ali kdorkoli, ki se nahaja na "zadnji milji", to je med vami in ponudnikom, prejme vsa imena vozlišč, do katerih dostopate. Zgornja možnost z zamenjavo naslova IP je precej kruta, vendar je v vsakem primeru mogoče slediti vozliščem, ki ste jih obiskali, in te podatke uporabiti za lastne namene.

Če se svojega ponudnika "bojite" ali preprosto ne želite, da vidi, katera spletna mesta obiskujete, lahko (seveda poleg uporabe VPN-ja in drugih varnostnih ukrepov) svoj računalnik dodatno konfigurirate za uporabo DNS strežnikov projekt OpenDNS (www.opendns.com). Trenutno so to naslednji strežniki:

208.67.222.222;

208.67.220.220.

V tem primeru ne potrebujete nobenih drugih dodatkov programsko opremo. Samo konfigurirajte svoj sistem za uporabo teh strežnikov DNS.

Toda problem prestrezanja povezav DNS še vedno ostaja. Da, ne dostopate več do ponudnikovega DNS-ja, temveč do OpenDNS-a, vendar lahko še vedno prestrežete pakete in vidite, kaj je v njih. Se pravi, če želite, lahko ugotovite, do katerih vozlišč ste dostopali.

Zdaj smo prišli do DNSCrypt. Ta program vam omogoča šifriranje vaše povezave DNS. Zdaj vaš ponudnik internetnih storitev (in vsi med vami in njim) ne bodo natančno vedeli, katera spletna mesta obiskujete! Še enkrat bom ponovil. Ta program ni nadomestilo za Tor ali VPN. Kot prej se preostali podatki, ki jih prenašate, prenašajo brez šifriranja, če ne uporabljate VPN ali Tor. Program šifrira le promet DNS.

Spletno mesto https://www.dnsleaktest.com omogoča prepoznavanje puščanja DNS in pojasnjuje, kako se ga znebiti. Samo pojdite na to spletno mesto. Če kliknete gumb Preveri puščanje DNS zdaj, boste prejeli seznam strežnikov DNS, skozi katere lahko gredo vaše poizvedbe. Tako boste natančno videli, kdo lahko ugotovi, katera spletna mesta obiščete.

V mojem primeru imajo lastniki 12 DNS strežnikov možnost beleženja vseh strani, ki jih obiščem. Ker pa delam prek Toga, me to vprašanje malo skrbi.

Na strani bit.lv/1ctmaaJ je opisano, kako odpraviti to ranljivost (to je, kaj narediti, da bo vaš sistem po povezavi z VPN uporabljal DNS strežnike ponudnika VPN in ne vašega internetnega ponudnika). Ne vidim smisla ponavljati vsega tega, saj se vsakdo lahko spopade s postopnim zaporedjem dejanj.

NAMESTITEV Z UPORABO DNSCRYPT

Najlažji način za zaščito vaše povezave DNS je uporaba DNSCrypt. Seveda lahko sledite priporočilom www. dnsleaktest.com ali pa uberete pot najmanjšega odpora in preprosto namestite DNSCrypt.

Najprej prenesite sam DNSCrypt (https://github.com/QDendns/dnscrypt-win-client). Takoj sem dal povezavo do GitHub, kjer lahko prenesete program. Če želite prenesti program iz GitHub, kliknite gumb Prenesi ZIP. Prenese se arhiv z viri DNSCrypt. Že prevedena različica se nahaja v imeniku DNSCrypt arhiva. Razpakirajte datoteke. V bistvu potrebujete samo eno datoteko - dnscrypt-proxy.exe. Nahaja se v istem imeniku. Vse ostalo (viri) lahko brišete.

A to še ni vse. Če ste to že iskali v Googlu, potem ste videli posnetke zaslona DNSCrypt. Po zagonu dnscrypt-proxy.exe ste ugotovili, da je nekaj narobe. Program se je začel v oknu ukazna vrstica. Vse je pravilno, prenesli ste sam proxy, zdaj pa morate še prenesti lupino zanj. Na GitHubu je še en projekt - lupina, ki jo potrebujemo.

Podobno prenesite arhiv ZIP in ga nekam razpakirajte. V imeniku binaries/Release/ bo program z imenom dnscrypt-winclient.exe. Kopirajte to datoteko v imenik, kjer se nahaja datoteka dnscrypt-proxy.exe.

Vse kar ostane je zagnati dnscrypt-proxy. eh V oknu, ki se prikaže, izberite omrežni adapterji ki jih želite zaščititi, in kliknite gumb Start. Če je vse v redu, se prikaže sporočilo DNSCrypt se izvaja v bližini gumba Stop (gumb Start se bo spremenil v to). Mimogrede, upoštevajte, da je vmesnik za OS X nekoliko drugačen.

ZA SKLEP

Članek ni bil zelo dolg, saj je sam program zelo enostaven za uporabo. Vendar ne bi bilo popolno, če ne bi omenil VPN. Če ste prebrali ta članek in vas zanima, vendar še niste uporabili storitev ponudnika VPN za šifriranje vaših podatkov, potem je čas, da to storite. Ponudnik VPN vam bo zagotovil varen tunel za prenos vaših podatkov, DNSCrypt pa bo zavaroval vaše povezave DNS. Seveda je SecurityKISS plačan (brezplačno tarifni načrt se lahko uporablja samo v informativne namene), vendar morate plačati za varnost?

Seveda lahko uporabljate Tor, vendar Tor deluje razmeroma počasi in, kar koli rečemo, ni VPN - ne bo mogoče "tarifirati" vsega prometa. V vsakem primeru (ne glede na možnost, ki jo izberete) so vaše povezave DNS zdaj varne. Preostane le še odločitev o načinu šifriranja prometa (če tega še niste storili).

4601 ,

Odkar je bil razblinjen mit o anonimnosti na spletu, se je na seznam najbolj perečih pridružilo vprašanje zasebnosti uporabnikov. Ne samo, da je mogoče slediti vašim spletnim dejavnostim Iskalniki in spletna mesta, ki jih obiščete, pa tudi svoje ponudnike internetnih storitev. Tehnično to ni tako težko, če DNS vam izda ponudnik, to pa se najpogosteje zgodi, vse mimo DNS je po njem mogoče spremljati promet, še posebej ker DNS-zahteve se pošiljajo prek nešifrirane povezave.

Jasno je, da zamenjava prestreženih paketov ne bo težka, tudi če uporabljate VPN- storitve.

Edini način za zapiranje luknje je šifriranje. DNS-promet, vendar boste za to potrebovali posebno programsko opremo, saj nobena od operacijski sistemi ne podpira šifriranja DNS iz škatle. Najenostavnejše orodje za šifriranje DNS- promet je - majhen brezplačen pripomoček, katerega prednost je, da ne zahteva dodatnih nastavitev, kar pomeni, da ga lahko uporabljajo začetniki. Obstaja konzolno orodje - DNSCrypt Proxy, vendar se morate z njim poigrati - izvedite niz ukazov v PowerShell, spremeni naslov DNS ročno in tako naprej. Kdor ima čas in željo, se lahko z njim seznani na strani github.com/jedisct1/dnscrypt-proxy .

Predlagamo uporabo enostavnejše in priročnejše namizne različice DNS- kriptograf. Prenesite s spletnega mesta razvijalca simpledscrypt.org Različica programa, ki ustreza bitni ravni vašega OS in namestitev.

Opremljen je z enostavnim, intuitivnim vmesnikom in poleg tega v ruščini, tako da lahko preprosto ugotovite, kaj je kaj. Osnovne nastavitve so narejene v razdelku "Meni". Če želite začeti uporabljati program, takoj po namestitvi kliknite gumb "Uporabi", nato pa spodaj izberite svojega omrežno kartico, mora biti označeno, kot je prikazano na posnetku zaslona. Stikalo "Storitev DNSCrypt" mora biti aktiven.

Preprosto je preveriti, ali vse deluje. Izvedite v oknu Teči ekipa ncpa.cpl, odprite lastnosti vaše povezave, izberite s seznama IP različica 4 (TCPIPv4) in odprite njegove lastnosti. Radijski gumb "Uporabi naslednje naslove strežnika DNS" mora biti aktivno, polje pa mora označevati prednostno DNS-strežnik. Imamo ga 127.0.0.1 , je lahko vaš naslov drugačen.

Program privzeto samodejno izbere najhitrejši strežnik, vendar lahko spremenite svoje nastavitve tako, da ga izberete sami v razdelku.

Parametrov razdelka ni treba spreminjati, če ne uporabljate protokola IPv4. IN Splošne nastavitve lahko omogočite dodatne zavihke "Črni seznam domen", "Dnevnik blokiranja domene", vendar še enkrat, če boste delali s funkcijami, ki jih ponujajo, zlasti s komponiranjem "Črna" seznami domen.

Menite, da je vaša anonimnost zanesljivo zaščitena. A žal temu ni tako. Obstaja en zelo pomemben kanal za uhajanje vaših zasebnih podatkov – storitev DNS. A na srečo je bila tudi za to izumljena rešitev. Danes vam bom povedal, kako šifrirati promet DNS s pomočjo pripomočka DNSCrypt.

Pri uporabi HTTPS ali SSL je vaš HTTP promet šifriran, torej zaščiten. Ko uporabljate VPN, je ves vaš promet že šifriran (seveda je vse odvisno od nastavitev VPN, vendar je praviloma tako). Toda včasih, tudi ko uporabljate VPN, vaše poizvedbe DNS niso šifrirane, poslane so takšne, kot so, kar odpira veliko prostora za ustvarjalnost, vključno z napadi MITM, preusmeritvijo prometa in še veliko več.

Tu na pomoč priskoči odprtokodni pripomoček DNSCrypt, ki so ga razvili znani ustvarjalci OpenDNS - programa, ki omogoča šifriranje poizvedb DNS. Po namestitvi na vaš računalnik bodo zaščitene tudi vaše povezave in varnejše brskanje po internetu. DNSCrypt seveda ni zdravilo za vse težave, ampak le eno od varnostnih orodij. Še vedno morate uporabljati povezavo VPN za šifriranje celotnega prometa, vendar bo združevanje z DNSCrypt bolj varno. Če ste zadovoljni s tako kratko razlago, lahko takoj preidete na razdelek, kjer bom opisal namestitev in uporabo programa.

Poskusimo razumeti globlje. Ta razdelek je za resnično paranoične. Če cenite svoj čas, lahko takoj nadaljujete z namestitvijo programa.
Torej, kot pravijo, je bolje videti enkrat kot slišati stokrat. Poglej sliko.

Recimo, da odjemalec (prenosnik na sliki) poskuša dostopati do google.com, najprej bi moral
razreši simbolično ime gostitelja v naslov IP. Če je omrežna konfiguracija takšna, da se uporablja ponudnikov DNS strežnik (nešifrirana povezava, rdeča črta na sliki), se razrešitev simboličnega imena v naslov IP zgodi prek nešifrirane povezave.

Da, nihče ne bo vedel, katere podatke boste posredovali dkws.org.ua. Obstaja pa nekaj zelo neprijetnih trenutkov. Prvič, ponudnik bo lahko z vpogledom v dnevnike DNS ugotovil, katera spletna mesta ste obiskali. Ali ga potrebujete? Drugič, verjetno je možnost ponarejanja DNS in napadov vohljanja DNS. Ne bom jih podrobno opisoval, o tem je bilo napisanih že veliko člankov. Na kratko bi lahko bila situacija naslednja: nekdo med vami in ponudnikom lahko prestreže zahtevo DNS (in ker zahteve niso šifrirane, ne bo težko prestreči zahteve in prebrati njene vsebine) in vam pošlje “ lažni odgovor. Kot rezultat, namesto obiska google.com, boste šli na spletno stran napadalca, ki je natanko takšna, kot jo potrebujete, vnesli boste svoje geslo s foruma in potem je razvoj dogodkov, mislim, jasen.

Opisana situacija se imenuje uhajanje DNS. Do puščanja DNS pride, ko vaš sistem, tudi po povezavi z VPN strežnik ali pa Tor nadaljuje s poizvedovanjem pri ponudnikovih DNS strežnikih za razrešitev domenskih imen. Vsakič, ko obiščete novo spletno mesto, se povežete z novim strežnikom ali zaženete omrežno aplikacijo, se vaš sistem poveže z DNS vašega ponudnika internetnih storitev, da razreši ime v IP. Posledično lahko vaš ponudnik ali kdorkoli, ki se nahaja na "zadnji milji", to je med vami in ponudnikom, prejme vsa imena vozlišč, do katerih dostopate. Zgornja možnost z zamenjavo naslova IP je precej kruta, vendar je v vsakem primeru mogoče slediti vozliščem, ki ste jih obiskali, in te podatke uporabiti za lastne namene.

Če se svojega ponudnika »bojite« ali preprosto ne želite, da vidi, katera spletna mesta obiskujete, lahko (seveda poleg uporabe VPN in drugih varnostnih ukrepov) dodatno konfigurirate svoj računalnik za uporabo DNS strežnikov Projekt OpenDNS (www.opendns.com) . Trenutno so to naslednji strežniki:

208.67.222.222
208.67.220.220

Ne potrebujete nobene druge dodatne programske opreme. Samo konfigurirajte svoj sistem za uporabo teh strežnikov DNS.

ZA SKLEP

Članek ni bil zelo dolg, saj je sam program zelo enostaven za uporabo. Vendar ne bi bilo popolno, če ne bi omenil VPN. Če ste prebrali ta članek in vas zanima, vendar še niste uporabili storitev ponudnika VPN za šifriranje vaših podatkov, potem je čas, da to storite.
Ponudnik VPN vam bo zagotovil varen tunel za prenos vaših podatkov, DNSCrypt pa bo zavaroval vaše povezave DNS. Seveda so storitve ponudnikov VPN plačljive, a za varnost je treba plačati, kajne?

Seveda lahko uporabljate Tor, vendar Tor deluje razmeroma počasi in, kar koli rečemo, ni VPN - ne bo mogoče "torificirati" vsega prometa. V vsakem primeru (ne glede na možnost, ki jo izberete) so vaše povezave DNS zdaj varne. Preostane le še odločitev o načinu šifriranja prometa (če tega še niste storili).

Morda imate idealno konfigurirano končno omrežno opremo, popoln red v vaših grozdih, morda so prazna debla in neobremenjena jedrna oprema omrežja, a če vaš DNS ne deluje dobro, bodo vaše stranke nezadovoljne.

To vodi do preprostega zaključka - vaši rekurzivni DNS strežniki morajo biti vedno na voljo in sposobni služiti zahtevam strank.

Vsi članki o nastavitvi produktivnega strežnika DNS se začnejo nekako takole: "primerjajmo različne parametre različnih rekurzivnih strežnikov DNS in med njimi izberimo najboljšega, pa bomo srečni." Vnaprej lahko rečem, da bo sreča prišla s to metodo, vendar ne za dolgo.

Naslednji korak je povečanje zmogljivosti samega strežnika. Ta metoda prav tako doseže srečo, vendar se s stabilno rastjo naročniške baze hitro konča.

Lahko se vprašate, kakšna rešitev problema obstaja, ali natančneje, kaj storiti v tej situaciji?

Odgovor je preprost – omejiti moramo število rekurzivnih zahtev določenih tipov od vsake naše stranke. Na žalost nobeden od trenutno obstoječih DNS strežnikov nima sredstev za omejevanje števila zahtev določene vrste za vsakega od rekurzivnih odjemalcev. Bomo postavili to nalogo paketnemu filtru, spodnji primeri uporabljajo iptables.

V večini primerov naval zahtev DNS prihaja od okuženih odjemalcev. različne vrste, ogromno število zahtev MX, namenjenih iskanju naslovov IP poštni strežniki, Poizvedbe tipa A za eksotične domene, kot sta kljhajlhfqweqwe.com ali ioweurtisdvfso.org.

Po naših grobih ocenah je 3 % odjemalskih strojev ustvarilo več kot 90 % vseh zahtev DNS.

Samo klic stranke pogosto ne reši problema, saj stranke morda ni doma, stranka ni usposobljena ali preprosto noče na zdravljenje (pri meni tako ali tako vse deluje). Poleg tega pogosto, ko so vrata odjemalca onemogočena, ponudniki pustijo odprt promet do strežnika DNS, tako da se odjemalec lahko prijavi v svoj Osebni prostor po njegovem imenu in poglej razlog za blokado, ampak ker... odjemalski računalnik Strežnik DNS je tisti, ki ne uspe, zato morate za rešitev te težave poiskati drug izhod.

Torej moramo rešiti dva preprosta problema.
1. Določite vse veljavne vrste zahtev DNS, ki jih bomo obdelali.
2. Poiščite razumne intervale za prejemanje zahtev vsake vrste od vsake stranke.

Poglejmo, kakšne vrste zahtevkov lahko prihajajo od naših strank in kaj moramo storiti z njimi.

Zapis A (naslovni zapis) povezuje ime gostitelja z naslovom IP. Najbolj "najbolj uporabna" vrsta zahtev. Vrednosti 100 zahtevkov v 10 sekundah so povsem sprejemljive tudi za tiste stranke, ki brskajo "zelo hitro" :)

AAAA (zapis naslova IPv6) povezuje ime gostitelja z naslovom protokola IPv6. Čeprav IPv6 ni zelo razširjen, lahko to vrsto zahtev prepustimo našemu DNS strežniku in ga omejimo na dve zahtevi na 10 sekund od vsakega odjemalca, tako da prazne zahteve, kot je AAAA localhost. ni vplivalo na delovanje strežnika DNS.

Zapis CNAME (zapis kanoničnega imena) ali zapis kanoničnega imena. Vrsta zahteve je uporabna, blokiranje naj bo mehko, da bo blokiranih čim manj zahtev te vrste. Tako kot za zahteve tipa A je 100 zahtevkov v 10 sekundah povsem sprejemljiva vrednost.

Zapis MX (izmenjava pošte) ali izmenjevalec pošte določa strežnik(e) za izmenjavo pošte za dano domeno. Pri domačih odjemalcih intenzivne zahteve po tovrstnih zapisih jasno kažejo, da je odjemalčev računalnik okužen z okužbo, ki pošilja neželeno pošto. Za zagon diagnostičnih pripomočkov je dovolj 5 zahtev v 60 sekundah.

Zapis NS (name server) kaže na strežnik DNS za določeno domeno. Uporabniki domačih internetnih storitev ne generirajo takšnih zahtev neposredno; v večini primerov se takšne zahteve generirajo ročno prek diagnostičnih pripomočkov, kot je nslookup, da bi odpravili napake v delovanju svojih domen itd. 10 zahtevkov te vrste v 60 sekundah je popolnoma sprejemljiva vrednost.

Zapis PTR (kazalec) ali zapis kazalca povezuje gostiteljev IP z njegovim kanoničnim imenom. Velja za uporabnike storitev domači internet in zahteve te vrste prihajajo precej pogosto med delovanjem odjemalcev torrent ali p2p za razrešitev imen gostiteljev, s katerih prenašate in katerim distribuirate. Na primer, 50 zahtevkov v 10 sekundah je povsem sprejemljiva vrednost, ki je v večini primerov dovolj za vsakega uporabnika.

Zapis SOA (Start of Authority) ali začetni conski zapis označuje, na katerem strežniku so shranjene referenčne informacije o dani domeni, vsebuje kontaktne podatke osebe, ki je odgovorna za to cono, čase (časovne parametre) za predpomnjenje informacij cone in interakcijo med DNS strežniki. Ta vrsta zahteve lahko domači uporabniki interneta uporabljajo le za namene odpravljanja napak, vsakemu odjemalcu bomo omogočili, da naredi 5 zahtev v 60 sekundah.

Zapis SRV (izbira strežnika) označuje strežnike za storitve. To vrsto zahteve lahko uporabljajo domači uporabniki interneta samo za namene odpravljanja napak; vsakemu odjemalcu bomo omogočili, da naredi 5 zahtev v 60 sekundah.

Ogledate si lahko celoten seznam vrst zapisov DNS.

Da bi razumeli, po katerih podpisih lahko razvrstimo to ali ono zahtevo DNS, moramo s tcpdumpom »ujeti« en tip paketa, pogledati v polje Type telesa zahteve in se prepričati, da:

Zahteva tipa MX vsebuje v polju tipa - 00 0F
zahteva tipa AAAA vsebuje v tipskem polju - 00 1C
tip zahteve A vsebuje v polju tipa - 00 01
zahteva tipa PTR vsebuje v polju tipa - 00 0C
zahteva tipa CNAME vsebuje v polju tipa - 00 05
zahteva tipa NS vsebuje v polju tipa - 00 02
zahteva tipa SOA vsebuje v polju tipa - 00 06
zahteva tipa SRV vsebuje v polju tipa - 00 21

Upoštevajte tudi, da je v zahtevi DNS za poljem Vrsta polje; za zahtevo DNS je vedno enako 00 01. Dodajmo to polje vsem podpisom, da zmanjšamo število lažno pozitivnih rezultatov.

Torej, da bi blokirali zahteve DNS, kot je MX, moramo dodati pravila iptables na strežnikih DNS:
-A INPUT -p udp --dport 53 -m niz --algo kmp --hex-string "|00 0F 00 01|" -j SPUSTI

Ker teh zahtev ne moramo popolnoma zapreti, ampak preprosto omejiti njihovo število na časovno enoto, da te zahteve ne bodo »izneverile« našega strežnika, bomo pravilom preprosto dodali zadnji modul.

Na primer, pravilo, ki omejuje prejem zahtev DNS vrste MX na 5 zahtev v 60 sekundah, bo videti takole:
-A INPUT -p udp --dport 53 -m stanje --stanje NOVO -m niz --algo kmp --hex-niz "|00 0F 00 01|" -m recent --set --name MXFLOOD --rsource

A INPUT -p udp --dport 53 -m stanje --stanje NOVO -m niz --algo kmp --hex-niz "|00 0F 00 01|" -m recent --update --seconds 60 --hitcount 5 --rttl --name MXFLOOD -j DROP

A INPUT -p udp --dport 53 -m niz --algo kmp --hex-niz "|00 0F 00 01|" -j SPREJEM

Druge vrste poizvedb DNS so podobno omejene.

Ker obstaja veliko vrst DNS in smo dovolili vse vrste poizvedb DNS, ki jih potrebujemo, bi bilo dobro onemogočiti vse druge poizvedbe, da jih vaš strežnik DNS ne bi obdelal.

A INPUT -p udp --dport 53 -j DROP

Ta preprosta pravila so nam omogočila zmanjšanje števila sočasnih rekurzivnih zahtev DNS na naše DNS strežniki več kot 20-krat (od 10.000 do 400), brez pritožb naših uporabnikov glede delovanja DNS.