DNS Attack Amplification

OK - primeiro as primeiras coisas: Firewall seu servidor para que as pessoas fora da sua organização não possam acessá-lo, ou desativar a recursão :

1. Open DNS Manager.
2. In the console tree, right-click the applicable DNS server, then click Properties.
3. Click the Advanced tab.
4. In Server options, select the Disable recursion check box, and then click OK.

(Chris postou uma imagem útil da página e a opção que você deseja ativar )
Faça isso agora.

Agora que você não está mais ativamente invadindo a Internet você pode ler sobre ataques de amplificação de DNS , como eles acontecem, porque eles são ruins e algumas das coisas que você pode fazer para evitar ser um peão neles.
Você também pode ler este artigo da Technet sobre os ataques DNSSEC e amplificação de DNS , que inclui algumas referências informativas .

Você pode determinar a melhor forma de evitar que seu servidor seja usado em tais ataques.
Normalmente, você fará isso respondendo apenas a consultas recursivas para um grupo conhecido de hosts (suas máquinas internas), mas outras opções também existem.

• Abra o console do Gerenciador de DNS.
• Clique com o botão direito do mouse no servidor e selecione Propriedades.
• guia Avançado.
• Desativar recursão.

Desativar a recursão pode não impedir ataques em servidores públicos.

O problema é que a consulta tem cerca de 94 bytes e a resposta (afirmando que é um NXDOMAIN) tem no mínimo 119 bytes, então o ataque é um pouco amplificado e quase sempre vindo de um ip falsificado.

Você também deve ter a zona de ponto (.) sem nenhum registro para obter a resposta de 119 bytes.

O mais comum desses ataques irá pedir por freeinfosys.com

Nenhuma das opções acima interrompe o ataque, mas reduz seu efeito.

Quando o servidor dns é um servidor público autoritativo, ele precisa permitir consultas de qualquer pessoa e qualquer lugar para as zonas que ele transporta, de forma que você não possa limitar por pe outras etapas que você pode usar para servidores de DNS internos ou privados. p>

A próxima versão do dns da Microsoft que vem com 2016 terá o RRL, o que ajudará bastante, pena que eles não tenham liberado essa funcionalidade tão necessária que o Bind tem há anos.

Quando você executa um servidor de dns autoritativo e um script de jerkwad kiddies ou aqueles que desejam fazer com que seu servidor de dns tenha tráfego adicional, WILL enviará consultas ao seu servidor dns (de ips falsificados) para domínios cujo servidor não é autoritativo.

Se a zona do ponto (.) não existir, mesmo com a recursão desativada, o servidor tentará responder a essa consulta.

Somente até você criar a zona de pontos, você pode reduzir a resposta ao que eu declarei 119 bytes. E, se bem me lembro, sempre que você começar a preencher a zona de pontos com qualquer outro registro que não seja o SOA, os pacotes de resposta crescerão.

Agora, se você tiver um exemplo ao vivo e tiver provas de que fazer outra coisa interromperá esse tipo de ataque em 100%, sou todo ouvidos e adoraria ver outra resposta.

Eu estudei isso por um bom tempo, e tentei muitas coisas, e com base em minha pesquisa, o que eu detalhei acima parece ser a melhor maneira de reduzir a resposta de saída, tanto quanto possível.

Se você não tiver feito isso, leia o domínio que listei junto com os ataques dns, pois ele é o nome de domínio mais solicitado nesse tipo de ataque.

Concedido, é frequentemente associado a um ataque a um servidor recursivo, mas esses tipos de ataques ocorrem em servidores autoritativos com recursão desabilitada.

Eu tenho servidores em execução que têm as dicas de raiz limpas, com recursão desativada, e passei muito tempo estudando os pacotes com wireshark durante esses tipos de ataques e nem uma vez vi respostas como você detalhou. (Eu admito que sei o suficiente sobre wireshark para me tornar um pouco perigosa)

Você tem ou conhece uma demonstração ao vivo ou um laboratório em que eu possa ver isso em ação? Por acaso você sabe qual seria o tamanho dessa resposta, já que qualquer redução no tamanho do pacote seria uma melhoria?

O que outro software de servidor de DNS responde não responde a perguntas do servidor DNS da Microsoft, pois a pergunta original era sobre o Server 2008.

A propósito, há também a lista de blocos de consulta, mas que também NÃO recusa consultas para o domínio na lista.

Curiosamente, desde que eu estava passando por esse tipo de ataque, tentei NOVAMENTE uma das sugestões.

Eu removi o arquivo. root zone e recebi um aviso sobre a necessidade de adicionar dicas de root, mas ignorá-lo.

Parei e reiniciei os serviços de DNS e certifiquei-me de que as dicas de raiz ainda estavam claras.

Os pacotes de resposta passaram de 119 bytes para mais de 700 bytes, então agora eu estava ampliando o ataque por um fator de 10.

Então, se alguém enviar um meg em mim, estou enviando 10X a largura da banda para consultas que não são autorizadas para um ip que não enviou a solicitação.

Eu gostaria que a sugestão tivesse funcionado e eu tinha certeza que tinha tentado isso antes, mas fiz mais uma vez desde que eu acabei de ter uma situação de ataque ao vivo para tentar isso.