8 800 700-67-95
Перезвоните мне
Санкт-Петербург
+7 (812) 319-00-04
Москва
+7 495 109-60-25
Поддержка
+7 (812) 319-00-03
Как предотвратить использование своего DNS-сервера в хакерских атаках
9 Сентября 2015
Многие DNS-сервера сконфигурированы так, что позволяют хакерам использовать их ресурсы для DDoS-атак. Рассказываем, как можно этого избежать.
В наши дни наиболее массированные DDoS-атаки часто используют метод, называемый «DNS-усиление». В этом методе атакующий использует публично доступные DNS-сервера, чтобы «затопить» свою цель трафиком ответа от DNS-серверов. Атакующий отправляет запрос на определение по имени на публично-доступный сервер, но подставляет в качестве адреса источника адрес цели. Когда DNS-сервер отправляет ответ, он отправляет его на адрес цели. Поскольку величина ответа обычно больше, чем сам запрос, атакующий получает возможность увеличить размер трафика и направить его на цель, как бы «усиливая» его.
К сожалению, DNS-сервера часто остаются открытыми для использования их в таком виде атаки.
Лучшее, что может сделать любой админ – это ограничить, на какие запросы и кому DNS-сервера вообще отвечают. Для внутренних DNS-серверов убедитесь, что они отвечают только компьютерам внутри сети и другим авторизованным DNS-серверам.
Даже ваши внешние, публично-доступные DNS-сервера не должны отвечать на каждый запрос. Если ваш DNS-сервер отвечает на все запросы, особенно на запросы в отношении любого домена, то у вас потенциальная проблема.
ИСПОЛЬЗОВАНИЕ RESPONSE RATE LIMITING
Одна из лучших защит против того, чтобы ваш DNS-сервер использовался в хакерской атаке, это Response Rate Limiting (RRL). Хотя эта настройка не включена по умолчанию (а стоило бы!), она присутствует в BIND 9.9 и более поздних версиях, а также входит в DNS-сервисы, доступные в Windows Server 2016.
Если ваш DNS-сервер не поддерживает RRL, можно попробовать добиться того же эффекта, используя фильтры на файрволле или с использованием других анти-DDoS сервисов.
ОТКЛЮЧЕНИЕ РЕФЕРРАЛЬНЫХ ОТВЕТОВ «ВВЕРХ»
Ранее, когда DNS-сервер получал запрос на доменное имя, за которое он не отвечал, он отвечал, перенаправляя к DNS-серверам верхнего уровня. Атаки с использованием «DNS-усиления» сделали этот метод плохой практикой. BIND давно рекомендует отключить эту возможность, Microsoft собирается сделать отключенной эту возможность по дефолту в WindowsServer 2016. В более ранних версиях, вы можете просто стереть файл с так называемыми roothints(c:\windows\system32\DNS\cache.dns).
ПРОВЕРЬТЕ ВСЕ СЕРВИСЫ DNS
Определите все компьютеры и устройства, принимающий соединение на порт 53 в TCP или UDP, чтобы найти и сконфигурировать все устройства, на которых могут быть запущены сервисы DNS. Часто вы обнаружите устройства типа беспроводных роутеров, где могут быть неожиданные DNS-сервера.
По материалам InfoWorld
В наши дни наиболее массированные DDoS-атаки часто используют метод, называемый «DNS-усиление». В этом методе атакующий использует публично доступные DNS-сервера, чтобы «затопить» свою цель трафиком ответа от DNS-серверов. Атакующий отправляет запрос на определение по имени на публично-доступный сервер, но подставляет в качестве адреса источника адрес цели. Когда DNS-сервер отправляет ответ, он отправляет его на адрес цели. Поскольку величина ответа обычно больше, чем сам запрос, атакующий получает возможность увеличить размер трафика и направить его на цель, как бы «усиливая» его.
К сожалению, DNS-сервера часто остаются открытыми для использования их в таком виде атаки.
Лучшее, что может сделать любой админ – это ограничить, на какие запросы и кому DNS-сервера вообще отвечают. Для внутренних DNS-серверов убедитесь, что они отвечают только компьютерам внутри сети и другим авторизованным DNS-серверам.
Даже ваши внешние, публично-доступные DNS-сервера не должны отвечать на каждый запрос. Если ваш DNS-сервер отвечает на все запросы, особенно на запросы в отношении любого домена, то у вас потенциальная проблема.
ИСПОЛЬЗОВАНИЕ RESPONSE RATE LIMITING
Одна из лучших защит против того, чтобы ваш DNS-сервер использовался в хакерской атаке, это Response Rate Limiting (RRL). Хотя эта настройка не включена по умолчанию (а стоило бы!), она присутствует в BIND 9.9 и более поздних версиях, а также входит в DNS-сервисы, доступные в Windows Server 2016.
Если ваш DNS-сервер не поддерживает RRL, можно попробовать добиться того же эффекта, используя фильтры на файрволле или с использованием других анти-DDoS сервисов.
ОТКЛЮЧЕНИЕ РЕФЕРРАЛЬНЫХ ОТВЕТОВ «ВВЕРХ»
Ранее, когда DNS-сервер получал запрос на доменное имя, за которое он не отвечал, он отвечал, перенаправляя к DNS-серверам верхнего уровня. Атаки с использованием «DNS-усиления» сделали этот метод плохой практикой. BIND давно рекомендует отключить эту возможность, Microsoft собирается сделать отключенной эту возможность по дефолту в WindowsServer 2016. В более ранних версиях, вы можете просто стереть файл с так называемыми roothints(c:\windows\system32\DNS\cache.dns).
ПРОВЕРЬТЕ ВСЕ СЕРВИСЫ DNS
Определите все компьютеры и устройства, принимающий соединение на порт 53 в TCP или UDP, чтобы найти и сконфигурировать все устройства, на которых могут быть запущены сервисы DNS. Часто вы обнаружите устройства типа беспроводных роутеров, где могут быть неожиданные DNS-сервера.
По материалам InfoWorld
Популярные услуги
Получить консультацию специалиста