IIS: DDoS de amplificação de solicitação falsificada do servidor DNS

Navegue suas respostas
3

Estamos executando um servidor IIS com DNS e o proprietário de um site nos pediu para executar uma verificação de segurança específica. Nosso site passou, mas nós fomos alertados com isso e eu gostaria de limpá-lo e estou um pouco familiarizado como configurá-lo corretamente.

Description: DNS Server Spoofed Request Amplification DDoS

Synopsis: The remote DNS server could be used in a distributed denial of service attack.

Impact: The remote DNS server answers to any request. It is possible to query the name servers (NS) of the root zone ('.') and get an answer which is bigger than the original request. By spoofing the source IP address, a remote attacker can leverage this 'amplification' to launch a denial of service attack against a third-party host using the remote DNS server.

See also : http://isc.sans.org/diary.html?storyid=5713

Data Received: The DNS query was 17 bytes long, the answer is 353 bytes long.

Resolution: Restrict access to your DNS server from public network or reconfigure it to reject such queries.

Desativamos a recursão, mas não sabemos qual outra configuração ela está captando e sinalizando para isso e, especialmente, não queremos que nosso servidor seja usado para ajudar ou cair em qualquer tipo de ataque de DDoS.

Obrigado.

    
por andrewteg 10.06.2014 / 18:42

1 resposta

2

Se o seu servidor DNS é autoritativo para um domínio de acesso público, o que eu acho que é o seu caso, então não há muito mais que você possa fazer. O aviso é devido ao fato de que seu servidor DNS responderá a qualquer solicitação, o que um servidor com autoridade pública deverá fazer.

Em um ataque de amplificação de solicitação falsificada, o endereço de origem da solicitação de DNS é falsificado, de forma que as respostas do servidor DNS sejam enviadas ao host de destino (vítima) em vez da origem. Além de desabilitar a recursão, filtros podem ser colocados em prática para rejeitar pacotes com endereços de origem falsificados, a fim de mitigar esses ataques. Isso precisaria ser executado por seus roteadores ou firewalls, no entanto. Isso não impedirá que esse aviso apareça na verificação de segurança, mas você terá evidências de que tomou medidas para atenuar a ameaça.

    
por 10.06.2014 / 18:59

Tags

Vários servidores com um arquivo de configuração DNS do Outlook.com é tão lento, o tempo de espera do postfix é excedido