O que é um resolvedor de DNS aberto e protege contra a amplificação do DNS?

Remover o endereço IP do invasor da ACL não interromperá um ataque de amplificação. Como um ataque de amplificação envolve falsificação de IP, o servidor nunca verá o endereço IP real do invasor. Em vez disso, o servidor só verá o endereço IP da vítima.

No entanto, a remoção do endereço IP da vítima da ACL interromperá o ataque de amplificação, supondo que o mecanismo da ACL esteja razoavelmente implementado.

Isso significa que você não pode proteger seus usuários legítimos dessa maneira. Mas, se você tiver apenas um conjunto bem conhecido de usuários legítimos, poderá garantir que o seu servidor DNS não seja mal utilizado para realizar um ataque de amplificação contra terceiros. Isso provavelmente também reduzirá a carga do seu servidor DNS, já que qualquer pessoa que queira executar um ataque de amplificação estará desperdiçando sua própria largura de banda enviando pacotes para seu servidor.

Se você tiver controle total sobre o caminho de rede entre cada cliente legítimo e seu servidor DNS, será possível filtrar os pacotes falsificados antes que eles atinjam o servidor.

Se você definir uma ACL para permitir o acesso a 11.111.111.11 e 22.222.22.222, isso significa que qualquer pessoa que puder falsificar essas fontes (conforme visto pelo seu servidor) poderá usar seu servidor para atacar 11.111.111.11 ou 22.222.22.222. Essa pessoa provavelmente poderia usar qualquer resolvedor de DNS aberto no mundo para fazer a mesma coisa.

Spoofing um pacote, como visto pelo seu servidor, significa fazer o seu servidor ver um pacote que tem um endereço de origem 11.111.111.11 ou 22.222.22.222, embora esse servidor nunca enviou esse pacote. Muitos ISPs conseguem fazer anti-spoofing em sua borda de rede, descartando pacotes de fora que indicam que eles são de dentro, e também anti-spoofing para seus clientes, para que seu cliente não possa falsificar IPs. Se o seu ISP fizer isso, os IPs externos só poderão falsificar (e usar a amplificação do DNS para atacar) os IPs externos. Se o resolvedor de DNS responder apenas a consultas de IPs internos, não haverá problema.

A melhor prática, portanto, é oferecer apenas serviços de resolução de DNS para IPs que você controla e aplicar anti-spoofing no nível da rede.

Para mais informações, consulte:

link

mas não hesite em esclarecer sua dúvida (qual é o seu problema, você é um ISP ou uma empresa ou um usuário doméstico ...)

EDIT porque meu comentário de acompanhamento foi muito longo:

Eu acho que proibir a QUALQUER solicitação provavelmente diminuiria a chance de abuso, porque você provavelmente não é o objeto de nada específico. Portanto, se o atacante estiver usando QUALQUER solicitação, pará-lo interromperá o ataque e o atacante não se importará ou perceberá. MAS o que você deve fazer é limitar o direito de fazer solicitações usando uma ACL, incluindo apenas os IPs de seus amigos, conforme explicado acima. Então você não será um resolvedor aberto. Ou o trojan está falsificando um IP que não pertence a um amigo seu, e você não responderá a ele, ou por alguma chance bizarra de um de seus amigos ser atingido por um ataque por causa de seu amigo trojan, mas contanto que você não tem milhões de amigos que deveriam estar bem.

Vou antecipar sua pergunta: seus amigos têm IPs dinâmicos. Isso não é fácil de responder; Se houver uma razão convincente para que seus amigos não possam usar o servidor DNS fornecido pelo DHCP, ou algo como o OpenDNS ou o 8.8.8.8 do Google ou uma VPN completa, acho que algo como dnscrypt pode ser a solução.

É claro que, se seus amigos obtiverem um cavalo de Troia, a preocupação com a segurança do DNS deles provavelmente deve ocupar o segundo lugar para hospedar a segurança.