Úvod
Útok zesilující DNS (Domain Name Server) je oblíbenou formou distribuovaného odmítnutí služby (DDoS), při které útočníci využívají veřejně přístupné otevřené servery DNS k zaplavení cílového systému provozem odezvy DNS. Primární technika spočívá v tom, že útočník odešle požadavek na vyhledání názvu DNS na otevřený server DNS, přičemž zdrojová adresa je podvržena jako adresa cíle.
ref:https://www.us-cert.gov/ncas/alerts/TA13-088A
Zakázání rekurze na autoritativních jmenných serverech
Mnoho serverů DNS aktuálně nasazených na internetu je určeno výhradně k poskytování překladu názvů pro jednu doménu. V těchto systémech může být překlad DNS pro soukromé klientské systémy zajišťován samostatným serverem a autoritativní server funguje pouze jako zdroj DNS zónových informací pro externí klienty. Tyto systémy nepotřebují podporovat rekurzivní rozlišení jiných domén jménem klienta a měly by být konfigurovány s deaktivovanou rekurzí.
Bind9
Ke globálním možnostem přidejte následující:
options {
allow-query-cache { none; };
recursion no;
}; Server DNS společnosti Microsoft
V nástroji konzoly Microsoft DNS:
- Klikněte pravým tlačítkem na server DNS a klikněte na Vlastnosti.
- Klikněte na kartu Upřesnit.
- V možnostech serveru zaškrtněte políčko „Zakázat rekurzi“ a poté klikněte na tlačítko OK.
Omezení rekurze na autorizované klienty
U serverů DNS, které jsou nasazeny v rámci organizace nebo poskytovatele internetových služeb, by měl být překladač nakonfigurován tak, aby prováděl rekurzivní dotazy pouze jménem oprávněných klientů. Tyto požadavky by obvykle měly pocházet pouze od klientů v rozsahu síťových adres organizace. Důrazně doporučujeme, aby všichni správci serveru omezili rekurzi pouze na klienty v síti organizace.
BIND9
V globálních možnostech zahrňte následující:
acl corpnets { 192.168.1.0/24; 192.168.2.0/24; };
options {
allow-query { any; };
allow-recursion { corpnets; };
}; Server DNS společnosti Microsoft
V současné době není možné omezit rekurzivní požadavky DNS na určitý rozsah klientských adres na serveru Microsoft DNS. Pro přiblížení funkčnosti seznamů řízení přístupu BIND na serveru DNS společnosti Microsoft by měl být interně nastaven jiný jmenný server pouze pro ukládání do mezipaměti, aby poskytoval rekurzivní rozlišení. Mělo by být vytvořeno pravidlo brány firewall, které bude blokovat příchozí přístup k serveru pouze s mezipamětí mimo síť organizace. Funkce autoritativního jmenného serveru by pak musela být umístěna na samostatném serveru, ale nakonfigurovaná tak, aby zakázala rekurzi, jak bylo popsáno výše.
Omezení rychlosti odezvy (RRL)
V současné době je k dispozici experimentální funkce jako sada oprav pro BIND9, která umožňuje správci omezit maximální počet odpovědí za sekundu odesílaných jednomu klientovi z jmenného serveru. Tato funkce je určena k použití pouze na autoritativních serverech doménových jmen, protože ovlivní výkon rekurzivních překladačů. Pro zajištění nejúčinnější ochrany doporučujeme, aby autoritativní a rekurzivní jmenné servery běžely na různých systémech, s RRL implementovaným na autoritativním serveru a seznamy řízení přístupu implementovanými na rekurzivním serveru. Tím se sníží účinnost útoků na zesílení DNS tím, že se sníží množství provozu přicházejícího z jakéhokoli jediného autoritativního serveru, aniž by to ovlivnilo výkon interních rekurzivních překladačů.
BIND9
V současné době jsou k dispozici záplaty pro 9.8.latest a 9.9.latest pro podporu RRL na systémech UNIX. Red Hat zpřístupnil aktualizované balíčky pro Red Hat Enterprise Linux 6, aby zajistil potřebné změny v informačním upozornění RHSA-2013:0550-1. V implementaci BIND9 se spuštěnými opravami RRL zahrňte do bloku voleb autoritativních pohledů následující řádky:
rate-limit {
responses-per-second 5;
window 5;
}; Server DNS společnosti Microsoft
Tato možnost není aktuálně dostupná pro Microsoft DNS Server.