Esta manhã, descobri que nosso domínio e subdomínios foram envenenados nos servidores DNS 4.2.2 e 4.2.2.1, junto com outros, penso, embora ainda não tenhamos confirmado outros. Usando a resolução OpenDNS funciona corretamente. Eu atualizei nossos servidores DNS locais e limpei o cache deles que corrigiu as coisas internamente.
A questão é que o domínio está voltado para o público e os clientes estão com problemas. Nós somos o servidor DNS autoritativo para o domínio e tudo o que está sob nosso controle. O que eu não sei fazer é consertar os servidores de nome fora do nosso controle.
Existe algo que podemos fazer do nosso lado? No momento, a única solução que consigo pensar é pedir aos clientes que alterem seu DNS para o OpenDNS, o que não é muito prático. A outra alternativa seria alterar nosso TLD, o que é menos prático.
Parece que você precisa implementar DNSSEC .
Como você não forneceu muitos detalhes sobre sua configuração, é difícil recomendar uma solução de software, mas pesquisar o DNSSEC com sua configuração atual deve render bons tutoriais sobre como fazer isso.
Tem certeza absoluta de que este é um ataque de envenenamento de cache?
Todo servidor DNS recursivo amplamente utilizado na Internet há muito tempo implementa uma correção para CVE-2008-1447 , tornando o tipo de envenenamento em grande escala que você descreve quase impossível.
Não completamente impossível, já que a randomização da porta de origem apenas faz com que o ataque leve 2 ^ 16 vezes mais tentativas de envenenar com sucesso. Aterrar um ataque em vários servidores de nomes autoritários com altos volumes de transação, tudo ao mesmo tempo? Isso é bem o feito. Corrija-me se estiver errado, mas o seu domínio provavelmente não é significativo o suficiente na internet para ser o melhor alvo para esse ataque; atacantes com essa capacidade apenas atingem google.com .
A explicação mais razoável ou provável é uma alteração na delegação do domínio, que os servidores OpenDNS ainda não detectaram devido ao armazenamento em cache. O domínio expirou ou alguém com acesso ao registrador fez uma alteração imprudente nas configurações de delegação do servidor de nomes?
Alterar seu TLD? Isso é extremo. Qual é o seu TTL? Seu tipo de dependência de outros servidores DNS que expiram seus registros antes que nenhum deles se preocupe em pesquisar as entradas novas e não armazenadas em cache. Se você definir seus registros A para uma semana, ninguém verá as alterações por uma semana se elas forem armazenadas em cache. Eu sempre coloco meus registros A na configuração mais baixa para situações como essa, ou uso o CloudFlare, que me permite alterá-los rapidamente.
4.2.2.2 e 4.2.2.1 são servidores DNS da Level 3 para sua rede, eles não devem ser usados pela Internet como um todo. Assim, eles não são representativos da infra-estrutura do DNS da Internet como um todo. Eu uso DNSStuff.com para fazer todos os meus testes / pesquisas, pois são resultados não armazenados em cache.
Além disso, em vez do OpenDNS, é mais fácil digitar o Google (8.8.8.8, 8.8.4.4), independente de suas crenças pessoais entre os dois.
A recomendação do DNSSEC é precipitada. Você corre o risco de resolver o problema errado e de se envolver com um fardo de manutenção.
Verifique primeiro estas questões:
O envenenamento de cache do DNS é menos comum hoje em dia. Se as chances insignificantes de incômoda o incomodarem, é melhor implementar o DNSCurve. Veja como ele se compara ao DNSSEC:
Você não pode fazer muito pelos servidores que não estão sob seu controle.
Tente entender como isso aconteceu - envenenamento não é fácil hoje em dia, deve haver algum buraco. Verifique as delegações pai NS. Verifique toda a sua autorização servidores. Entre em contato com Level3, diga a eles que seus servidores estão infectados - peça a eles para limpar o cache do seu domínio, mas eles provavelmente investigarão a causa. Talvez seus servidores estejam comprometidos e não seja apenas seu domínio.
também, veja o TTL. Se for um envenenamento intencional, o TTL deve ser muito grande (a menos que o Level3 ajuste um TTL máximo). Você verá quando expirará e, em seguida, verificar se isso não acontece novamente.
E coloque-o na rua para que as pessoas comecem a implementar o DNSSEC .