Как предотвратить использование своего DNS-сервера в хакерских атаках

9 Сентября 2015
Если облака для вас
не просто теория
Широкий спектр услуг
по выделенным северам
и мультиклауд-решениям
Конфигурация VPS и бесплатный тест уже через 2 минуты
Организация вашей IT-инфраструктуры на основе мультиклауд-решения
Многие DNS-сервера сконфигурированы так, что позволяют хакерам использовать их ресурсы для DDoS-атак. Рассказываем, как можно этого избежать.

В наши дни наиболее массированные DDoS-атаки часто используют метод, называемый «DNS-усиление». В этом методе атакующий использует публично доступные DNS-сервера, чтобы «затопить» свою цель трафиком ответа от DNS-серверов. Атакующий отправляет запрос на определение по имени на публично-доступный сервер, но подставляет в качестве адреса источника адрес цели. Когда DNS-сервер отправляет ответ, он отправляет его на адрес цели. Поскольку величина ответа обычно больше, чем сам запрос, атакующий получает возможность увеличить размер трафика и направить его на цель, как бы «усиливая» его.

К сожалению, DNS-сервера часто остаются открытыми для использования их в таком виде атаки.

Лучшее, что может сделать любой админ – это ограничить, на какие запросы и кому DNS-сервера вообще отвечают. Для внутренних DNS-серверов убедитесь, что они отвечают только компьютерам внутри сети и другим авторизованным DNS-серверам.

Даже ваши внешние, публично-доступные DNS-сервера не должны отвечать на каждый запрос. Если ваш DNS-сервер отвечает на все запросы, особенно на запросы в отношении любого домена, то у вас потенциальная проблема.

ИСПОЛЬЗОВАНИЕ RESPONSE RATE LIMITING

Одна из лучших защит против того, чтобы ваш DNS-сервер использовался в хакерской атаке, это Response Rate Limiting (RRL). Хотя эта настройка не включена по умолчанию (а стоило бы!), она присутствует в BIND 9.9 и более поздних версиях, а также входит в DNS-сервисы, доступные в Windows Server 2016.

Если ваш DNS-сервер не поддерживает RRL, можно попробовать добиться того же эффекта, используя фильтры на файрволле или с использованием других анти-DDoS сервисов.

ОТКЛЮЧЕНИЕ РЕФЕРРАЛЬНЫХ ОТВЕТОВ «ВВЕРХ»

Ранее, когда DNS-сервер получал запрос на доменное имя, за которое он не отвечал, он отвечал, перенаправляя к DNS-серверам верхнего уровня. Атаки с использованием «DNS-усиления» сделали этот метод плохой практикой. BIND давно рекомендует отключить эту возможность, Microsoft собирается сделать отключенной эту возможность по дефолту в WindowsServer 2016. В более ранних версиях, вы можете просто стереть файл с так называемыми roothints(c:\windows\system32\DNS\cache.dns).

ПРОВЕРЬТЕ ВСЕ СЕРВИСЫ DNS

Определите все компьютеры и устройства, принимающий соединение на порт 53 в TCP или UDP, чтобы найти и сконфигурировать все устройства, на которых могут быть запущены сервисы DNS. Часто вы обнаружите устройства типа беспроводных роутеров, где могут быть неожиданные DNS-сервера.

По материалам InfoWorld