pw scan trustwave: dns amplificação de negação de serviço, Bind 9.8.1-P1, não parece

Navegue suas respostas
1

Em nossa última varredura PCI TW, uma de nossas bandeiras foi "Negação de amplificação de DNS de serviço ".

Neste momento, o servidor DNS está executando o Bind 9.8.1-P1. Parece que os CVEs são para uma versão muito mais antiga: CVE-2006-0988, CVE-2006-0987.

Dado como evidência foi: Encontrar: uma consulta de 26 bytes para [meu domínio] resultou em muito resposta maior, com 283 bytes de tamanho.

Então, do mundo exterior, eu corro: 

taco $ dig -t NS . @[my domain]

Por que eu volto: 

; <<>> DiG 9.8.1-P1 <<>> -t NS . @[my domain]
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 54954
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;.              IN  NS

;; Query time: 47 msec
;; SERVER: [my ip address]#53([my ip address])
;; WHEN: Mon Nov 25 15:53:24 2013
;; MSG SIZE  rcvd: 17

Então, para mim, parece que meu servidor BIND está fazendo a coisa certa e se recusando. Mas a varredura está certa de que, para uma pequena entrada, ela obteve uma saída muito maior. Mesmo que não estivesse permitindo a recursão de fora.

Existe uma maneira de fazer o BIND não responder, ou enviar uma resposta mais curta? Há algo mais que eu preciso fazer para tornar a varredura da PCI TW feliz?

    
por user145837 25.11.2013 / 17:27

2 respostas

3

A consulta sobre a qual eles estão falando é provavelmente mais como dig -t any [your domain] @[your nameserver] , o que provavelmente retornará o tipo de resposta maior à qual eles estão se referindo.

Este é um servidor de nomes autoritativo? Se assim for ... bem, não há muito o que fazer em relação à reflexão, além de consultas limitadoras de taxa.

A reflexão do DNS é uma coisa desagradável para a Internet como um todo, mas não consigo entender por que a largura de banda do seu servidor DNS autoritativo está sendo usada para amplificar o tráfego de DDoS tem a ver com a sua conformidade com PCI.

    
por 26.11.2013 / 07:12
1

A resposta de Shane Madden acima está no ponto - você está fazendo a coisa certa para o serviço recursivo se estiver limitando a recursão aos seus próprios clientes e negando-a àqueles fora dos limites que você definiu sobre quem você serve. Não opere um resolvedor aberto sem boas razão e se você decidir que precisa fazê-lo por algum motivo, deve monitorar ativamente por abuso e bloquear o mais rápido possível; caso contrário, você é um perigo para outros participantes da rede.

Em relação ao serviço autoritativo, ele está novamente correto - não há muito o que fazer além da limitação da taxa de resposta (RRL). [Para o que vale ISC (os autores do BIND e também os operadores da raiz F) dos treze servidores de nomes de raiz) - sofrem muito com isso, sendo um dos principais alvos de reflexão, pois o comprimento curto da consulta, combinado com a grande resposta a uma consulta ANY, contribui para um fator substancial de amplificação. Estamos presos a isso, desde que a falsificação de fontes UDP permaneça fácil.]

Com relação à sua versão atual (BIND 9.8.1-P1): supondo que você esteja executando o código de ações do ISC, há várias vulnerabilidades pendentes que afetam o 9.8.1-P1 que você pode querer resolver. A maioria deles, se explorada, resulta em negação de serviço quando o servidor trava com uma falha ASSERT ou INSIST - o BIND 9 é realmente projetado para travar assim que detecta um estado inconsistente, em vez de continuar e possivelmente correr o risco de piorar.

Você pode encontrar uma lista de recomendações de segurança que se aplicam consultando a Matriz de segurança do BIND Dependendo de quais recursos você está usando, nem todas as vulnerabilidades abaixo serão aplicadas, mas você deve verificá-las para ter certeza. O BIND 9.8 está atualmente na versão 9.8.6-P1, ou você pode atualizar para o BIND 9.9.4-P1 e obter o RRL gratuitamente (bem, é uma compilação opcional, mas pelo preço de um argumento de linha de comando extra para configurar você pode tê-lo e ajudar a tornar o seu servidor autoritativo um alvo de reflexão menos atraente.) 

CVE Number  Short Description
2013-6320   A Winsock API Bug can cause a side-effect affecting BIND ACLs
2013-4854   A specially crafted query can cause BIND to terminate abnormally
2013-2266   A Maliciously Crafted Regular Expression Can Cause Memory Exhaustion in named
2012-5689   BIND 9 with DNS64 enabled can unexpectedly terminate when resolving domains in RPZ
2012-5688   BIND 9 servers using DNS64 can be crashed by a crafted query
2012-5166   Specially crafted DNS data can cause a lockup in named
2012-4244   A specially crafted Resource Record could cause named to terminate
2012-3817   Heavy DNSSEC validation load can cause a "bad cache" assertion failure
2012-1667   Handling of zero length rdata can cause named to terminate unexpectedly
2011-4313   BIND 9 Resolver crashes after logging an error in query.c
    
por 27.11.2013 / 22:09

Tags

Como ter um mestre de fantoches no hostname sem modificar o / etc / hosts no cliente? As consultas remotas podem causar bloqueios?