Dns amplification ddos ​​анатомія атаки і захисту

DNS Amplification DDoS: Анатомія атаки і захисту. Частина 2

Продовження великої розмови про особливо сильну різновид DDoS-атаки через «DNS-відображення і посилення пакетів» (DNS Amplification DDoS. Ще її іноді називають DNS reflect attack). Рекомендую спочатку обов'язково простудіювати першу частину цієї статті, щоб сумлінно зрозуміти пристрій самої атаки, в іншому випадку багато поради-пояснення по боротьбі з нею нижче ризикують залишитися не правильно понятими.

Окей, після порції необхідної теорії в першій частині - переходимо до практичної частини по боротьбі з паразитних транзитним DNS-трафіком. який і дає можливість генерувати «підсилює ефект» даного виду вельми небезпечного DDoS, в якому кожен з нас мимоволі може стати співучасником.

Dns amplification ddos ​​анатомія атаки і захисту

DNS на профілактиці

У цьому місці є сенс трохи зупинитися, щоб осмислити все сказане вище на голих цифрах. Так, згідно з дослідженнями компанії Nominum. в мережі було виявлено як мінімум 10 мільйонів DNS-серверів налаштованих в режимі «open resolver».

З них близько 2 мільйонів дозволяють виконувати рекурсивні запити через себе взагалі будь-кому. В середньому, 71% всіх дистанційно досліджених цією компанією публічних DNS-серверів мають ті чи інші помилки в налаштуваннях, при цьому потрібно врахувати, що автоматично перевірялися лише найбільш базові і поширені проблеми такого роду. Дивлячись на цю статистику стає очевидним те, що зараз в мережі важче знайти правильно налаштований DNS, ніж чим вразливий.

Усвідомивши всю серйозність ситуації, давайте для початку спробуємо перерахувати типові симптоми в роботі DNS, які сигналізують про його негласному використанні в якості одного з ретрансляторів паразитного трафіку в рамках атаки по схемі DAD:

Останнім часом починають отримувати поширення так звані «ліниві ботнети», що складаються, як правило, з великої кількості особин (від ста тисяч до мільйона голів), які монотонно «довбають» з дуже низькою інтенсивністю (наприклад, один пакет в 3 хвилини).

Dns amplification ddos ​​анатомія атаки і захисту

З огляду на їх дивовижну кількість, жертва все одно задихається від тяжкості сумарною навантаження, тоді як сам «зомбі» при такій стратегії не тільки ніяк не видає себе на зараженому хості, а й істотно ускладнює своє детектування на атакується стороні.

Саме тому адміністратору краще не покладатися лише на якісь зовнішні симптоми паразитного активності. а зосередитися на спочатку правильному налаштуванні DNS-сервера

1. У файл /etc/host.conf додаємо новий рядок, з метою протидії Спуфінга:

2. Далі відкриваємо файл /etc/named.conf для відключення рекурсії на сервері:

Тепер будуть прийматися тільки ітеративні запити. При необхідності в якості більш гнучкого рішення можна скористатися опцією allow-recursion. яка визначає список свідомо довірених хостів, запити від яких дозволено обробляти рекурсивно.

3. Розміщуємо в цей же файл наступні рядки:

4. Далі, ще більше посилюємо протидію Спуфінга:

Ця опція включає режим, в якому ідентифікатори DNS-запитів вибираються випадковим чином.

5. Відключаємо fetch-glue:

6. Забороніть динамічні оновлення зон в такий спосіб:

7. Крім того тут же переконайтеся в тому, що ви відключили повідомлення і перенесення доменних зон на ваш сервер для всіх бажаючих, перерахувавши в блоці ACL список довірених серверів, цим ви забезпечите себе від деяких потенційних махінацій:

8. По можливості в налаштуваннях краще завжди використовувати нові, більш потужні механізми - наприклад розширення DNSSEC для забезпечення більшої безпеки і можливостей DNS-сервера.

Як варіант для минулого прикладу (трансфер зони) можна використовувати TSIG, ось приклад подібної конфігурації:

9. Обов'язково виконуйте попередню фільтрацію DNS-трафіку, для цього в таблиці нижче зібрані всі типові випадки. Зверніть увагу на номери портів - поширена помилка свідчить, що запити DNS передаються через 53 / UDP, а трансфер зон - через 53 / TCP. Це лише «напівправда»: 53 / TCP може також застосовуватися і для «довгих запитів», а в версіях BIND 8/9 активно використовуються порти вище 1023 для операцій із запитами.

Dns amplification ddos ​​анатомія атаки і захисту

Знову ж, по можливості намагайтеся використовувати останні і найпотужніші засоби для контролю трафіку в BIND, наприклад новий «брандмауер для DNS» - DNSRPZ (DNS Response Policy Zone), а також DLZ-драйвери - відмінний спосіб упорядкування безлічі конфігов і налаштувань.

Інструменти для перевірки і контролю DNS

На закінчення зупинимося і на спеціалізованих інструментах для тестування DNS-сервісів, які не тільки дозволять перевірити правильність всіх вищеописаних налаштувань, але і зможуть налагодити перманентний контроль над роботою підвідомчого вам DNS-сервера.

коротке резюме

В рамках цієї оглядової статті з двох частин ми розглянули лише тільки деякі, окремі варіанти і наслідки некоректні налаштування DNS-серверів на прикладі широко поширеного виду DDoS-атак (в рамках якої ви можете стати як жертвою, так і мимовільним співучасників її проведення). Також підкреслюється небезпека безконтрольного обміну DNS-трафіком із зовнішнім світом на прикладі можливостей інкапсулюючих протоколів типу «IP через DNS».

Я постарався не тільки звернути увагу на ці не самі популярні у адміністраторів теми, а й також запропонувати базові рекомендації та інструменти для усунення цих поширених в реальному житті проблем.

"Я прийшов до вас з майбутнього з проханням припинити вашу діяльність"

OMG, спіймана ще одна "найсексуальніша в світі" російська хакерша

  • skynet »О-па. прокинувся! П онімаю. =) Буває. )) Нормальна дівчина, ну і що, що дроп, хтось з цього починає і йде далі, хтось на цьому зупиняється. че ті НЕ йметься, не подобається - отмолчісь, свободу слова ніхто не відміняв.
  • skynet »Кеур, а ось така як тобі. www.fb.com/sky3133 7 Питання в тому, нах ти їй такий потрібен.

Обходимо будь файрволи: кидок IP через DNS-трафік

Бійці непоміченого фронту

  • skynet »Згодна, всі брешуть. Скажу далі і сміється. не знаю, до мого \ вашому щастю або мій жаль, не повірите. "Моєму \ ваш йому" - пишу не окремо, тому що вважаю це нероздільні. Я не брешу. Причина та мотив: то.

Краудфандінг в стилі біткоіни

Схожі статті