DNS - consultas de recursão de spam

3

Estou usando o PowerDNS Recursor no ambiente ISP local. A recursão é permitida apenas em nosso intervalo de IP, mas eu venho com um problema estranho. Nosso próprio cliente PC continua atacando nosso servidor DNS com consultas como:

15:43:38.473842 IP [CLIENT_IP].51097 > [DNSSERVER_IP].domain: 42318+ A? qhmrazabkvghwtgv.www.dl26.com. (47)
15:43:38.474161 IP [CLIENT_IP].40825 > [DNSSERVER_IP].domain: 14848+ A? yzqxqtklodgzuv.www.dl26.com. (45)
15:43:38.474443 IP [CLIENT_IP].34094 > [DNSSERVER_IP].domain: 35692+ A? inahybijsvqt.www.sf97.net. (43)
15:43:38.474953 IP [CLIENT_IP].39432 > [DNSSERVER_IP].domain: 7105+ A? kpkfgrsxihst.www.tpa.net.cn. (45)

O domínio remoto é quase sempre .cn, mas o resto do nome do domínio continua mudando. A solução mais fácil é adicionar regra baseada em hashlimit no iptables, mas os clientes estão atrás do NAT, então o tráfego que chega ao DNS é marcado com o IP do concentrador. Eu também tentei usar spywaredomains zona, mas o domínio remoto continua mudando, então eu não posso realmente bloqueá-lo. O número de solicitações com domínios SPAM faz com que o Cache do PowerDNS cresça excessivamente e também está aumentando muito a contagem do remote_timeout. Existe alguma maneira de se defender contra esse tráfego e fazer o DNS funcionar como um encanto novamente?

    
por sihill 17.03.2014 / 15:54

3 respostas

5

Este é um dos ataques distribuídos contra servidores DNS autoritários que foram vistos em estado natural ultimamente. (não confundir com os ataques de amplificação de DNS mais populares) As vítimas são os servidores de nomes responsáveis pelo domínio mais próximo do TLD - tpa.net.cn , sf97.net , etc. A estratégia de ataque é gerar consultas que não serão armazenadas em cache.

Isso não é simplesmente uma questão de bloquear um cliente individual. Se você está vendo isso, geralmente é um sintoma de um dos seguintes fatores:

  • Você está operando um "resolvedor aberto", um servidor DNS em cache acessível à Internet em geral.
  • Seus clientes estão operando resolvedores abertos e encaminhando consultas para seus servidores de nomes. (isso é mais comum do que a maioria das pessoas pensa)

Na minha experiência, você precisa identificar qual deles é o caso e tomar medidas para reduzir os vetores de abuso em sua rede.

    
por 18.03.2014 / 05:41
5

De link :

many PowerDNS installations on Linux are configured to consume (far) more filedescriptors than are actually available ... To fix, there are four options:

  1. Reduce max-mthreads to 512 (or threads to 1 and max-mthreads to 1024) (max-mthreads was introduced in Recursor 3.2; but if you arerunning a version that old, please upgrade it!)
  2. Run ‘ulimit -n 32768′ before starting (perhaps put this in /etc/init.d/ script). There’s little reason to skip on this number.
  3. Investigate defaults in /etc/security/limits.conf
  4. Apply the patch in https://github.com/Habbie/pdns/commit/e24b124a4c7b49f38ff8bcf6926cd69077d16ad8

De link (paráfrase):

Install recursor from git head (snapshots at various URLs listed in the article or find one yourself at https://autotest.powerdns.com/), or in time, released versions 3.5.4 or up. Then set server-down-max-fails to a suitable number. We recommend 32, or 16 when under heavy attack.

    
por 11.04.2014 / 14:49
3

O que você pode fazer é impedir que o cliente chegue ao servidor de nomes. Uma solução alternativa seria limpar o (s) sistema (s) do cliente. Pessoalmente eu sugiro fazer a segunda coisa, a primeira coisa só seria bom se você redirecionar o cliente para um IP que tenha uma página avisando-os e ajudando-os a resolver o problema.

    
por 17.03.2014 / 22:28