medidas a serem tomadas contra um ataque de amplificação de DNS

7

Recentemente descobri que meu servidor estava sendo usado como parte de um DNS DDOS. Basicamente, minha configuração do BIND permitia a recursão e era usada para atacar um determinado endereço IP usando spoofing de IP.

Tomei as medidas necessárias para impedir isso e desabilitei a recursão. Eu não sou mais um amplificador, o que eu acho que resolve o grande problema, mas ainda estou recebendo as consultas em massa, e o BIND está respondendo com "negado" a todos eles.

Estou apenas curioso para saber se há algo mais que eu possa fazer. Eu pensei em configurar o fail2ban para bloqueá-los, fazendo algo similar às recomendações do Debian , mas de acordo com outros sites, e lógica razoável, isso não é o ideal, pois um atacante poderia facilmente me impedir que qualquer IP acessasse meu servidor.

Então, o que mais pode ser feito? Ou devo apenas esperar que os atacantes desistam? Ou espero que eles possam reexaminar e excluir-me como um amplificador?

    
por Waleed Hamra 19.11.2012 / 14:21

1 resposta

3

Basicamente, a configuração do fail2ban descrita no artigo vinculado modifica o firewall para DROP (por um tempo limitado) consultas DNS recebidas de IPs de origem que não podem consultar seu servidor DNS. Não é uma má ideia, mas se você não está fornecendo DNS autoritativo para um ou mais domínios para a Internet, então por que não esquecer o fail2ban e apenas DROP todas as consultas DNS recebidas da Internet?

Se você estiver executando um servidor DNS autoritativo, infelizmente, você não terá o privilégio de ignorar as consultas DNS. Nesse caso, não acho que você tenha muita escolha a não ser deixar as coisas como você as tem (recursão desativada) e esperar pacientemente por uma queda gradual no tráfego falsificado de entrada. Com certeza seria bom poder configurar a própria ligação para ignorar silenciosamente as consultas que estão configuradas para não responder, mas não acho que tenha esse recurso. (Esse comportamento tecnicamente violaria o protocolo DNS, afinal.) O Fail2ban fornece uma alternativa, mas, como você observou, não é o ideal.

    
por 19.11.2012 / 15:39