Evitar completamente as respostas de DNS para um domínio específico

1

Situação: O servidor (Win 2008R2) está sendo usado em um ataque DDoS de DNS (amplificação). Fator de amplificação já está para baixo para 1: Definir o servidor DNS para não-recursiva e removeu todas as dicas de raiz - > DNS responde a falha do servidor para domínios não autoritativos - > Tamanho de solicitação de DNS do EQ de saída.

Ainda assim, mesmo sem amplificação, ainda estamos participando, mesmo que apenas como um defletor simples (já que provavelmente o endereço de destino foi falsificado para direcionar o tráfego de resposta do DNS para o alvo DDoS).

Pergunta: Existe e, se sim, qual é a maneira mais fácil de impedir respostas DNS para solicitações de DNS de domínio específicas? A razão por trás dessa pergunta é que todas essas solicitações maliciosas de DNS são para o mesmo domínio, mas de IPs variáveis. Então, o bloqueio de IP não é tão eficaz assim.

Então, como filtrar as solicitações de DNS para domínios específicos e onde (o servidor DNS pode lidar com isso ou isso precisa ser feito no firewall?)?

    
por Philip Allgaier 06.06.2013 / 15:50

2 respostas

3

Existe algum motivo específico pelo qual seu servidor precisa responder a consultas externas?

O ideal seria configurar um resolvedor externo para seu resolvedor público (usado para resolver todos os recursos que devem ser acessados externamente: MX, servidor web, etc), usar o servidor DNS do Windows somente para sua rede interna e bloquear todo o DNS recebido consultas no seu perímetro.

No entanto, há uma coisa que você simplesmente não pode evitar: assim que você tiver um servidor DNS que responda a consultas externas, mesmo que seja apenas para seu próprio domínio, ele poderá ser usado em um ataque de rejeição de DNS. Você pode configurá-lo para impedir a amplificação do DNS, mas não para evitar saltos simples. Não deve ser um grande problema, a menos que você esteja recebendo DDoS mesmo.

Editar:

A maneira típica de configurar o dns na estrutura pequena (ish) é a seguinte:

  • Você usa um servidor DNS interno dentro do limite de sua rede. Esse servidor só é acessível a partir da rede interna e de hosts e redes com VPN.
  • Para resolução externa, você configura o servidor interno para encaminhar consultas para o dispositivo de gateway (geralmente um roteador de modem DLS multiuso) ou diretamente para o servidor DNS do seu provedor. Você DEVE permitir que esse tráfego flua, mas você pode limitá-lo completamente.
  • Se você possui um domínio público, use um servidor DNS externo para hospedá-lo (normalmente, pelo menos dois servidores). Esses servidores devem ser configurados para responder a consultas para zonas nas quais eles são autoritários e SOMENTE para essas consultas. (Há muitas ofertas de hospedagem DNS e praticamente todo o hosting de domínio vem com essa oferta).
por 06.06.2013 / 16:05
0

O ataque de amplificação funciona muito bem mesmo com a recursão desativada e quando os domínios são consultados que o servidor é não autoritativo para.

O pacote UDP de entrada (com IP falso) é de 72 bytes se eu me lembro, e se a zona de ponto (.) não estiver configurada com zero registros, a resposta pode ser tão alta quanto 720 bytes .... um fator de 10.

  1. Certifique-se de que a recursão esteja desativada se for um servidor autoritativo.
  2. Configure a zona de ponto (.) sem registros, uma SOA está bem e não alterará o tamanho da resposta.

Depois de fazer isso, a resposta será em torno de 90+ bytes, então a maior parte do efeito de amplificação desapareceu.

No que diz respeito à filtragem de consultas para domínios específicos, acho que o único sistema operacional da Microsoft que fará isso é o Server 2016 com a nova política de consulta de DNS. A única grande atualização para o DNS que vejo é a limitação da taxa de resposta que o bind tem há anos.

Como outros disseram, se for uma recursiva para uma rede interna ou clientes específicos, bloqueie todo o acesso à porta 53, exceto os IPs que você deseja permitir.

Como nota de rodapé, vou dar uma pequena aposta para que muitos deles sejam pegos com as falsas consultas, será uma consulta para freeinfosys.com

    
por 06.03.2016 / 09:37