GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Gewusst wie:Angriff auf Domain Name Server (DNS) Amplification

Einführung

Ein Domain Name Server (DNS) Amplification-Angriff ist eine beliebte Form von Distributed Denial of Service (DDoS), bei der Angreifer öffentlich zugängliche offene DNS-Server verwenden, um ein Zielsystem mit DNS-Antwortdatenverkehr zu überfluten. Die primäre Technik besteht darin, dass ein Angreifer eine Anfrage zur DNS-Namenssuche an einen offenen DNS-Server sendet, wobei die Quelladresse als Zieladresse gefälscht wird.

Referenz:https://www.us-cert.gov/ncas/alerts/TA13-088A

Rekursion auf autoritativen Nameservern deaktivieren

Viele der derzeit im Internet eingesetzten DNS-Server sind ausschließlich dazu gedacht, die Namensauflösung für eine einzelne Domäne bereitzustellen. In diesen Systemen kann die DNS-Auflösung für private Client-Systeme von einem separaten Server bereitgestellt werden, und der autorisierende Server fungiert nur als DNS-Quelle von Zoneninformationen für externe Clients. Diese Systeme müssen keine rekursive Auflösung anderer Domänen im Auftrag eines Clients unterstützen und sollten mit deaktivierter Rekursion konfiguriert werden.

Binde9

Fügen Sie den globalen Optionen Folgendes hinzu:

options {
 allow-query-cache { none; };
 recursion no;
 };

Microsoft-DNS-Server

Im Microsoft DNS-Konsolentool:

  1. Klicken Sie mit der rechten Maustaste auf den DNS-Server und klicken Sie auf Eigenschaften.
  2. Klicken Sie auf die Registerkarte Erweitert.
  3. Aktivieren Sie in den Serveroptionen das Kontrollkästchen "Rekursion deaktivieren" und klicken Sie dann auf "OK".

Beschränkung der Rekursion auf autorisierte Clients

Für DNS-Server, die innerhalb einer Organisation oder eines Internetdienstanbieters bereitgestellt werden, sollte der Resolver so konfiguriert werden, dass er rekursive Abfragen nur im Namen autorisierter Clients durchführt. Diese Anfragen sollten in der Regel nur von Clients innerhalb des Netzwerkadressbereichs der Organisation kommen. Wir empfehlen dringend, dass alle Serveradministratoren die Rekursion nur auf Clients im Netzwerk der Organisation beschränken.

BIND9

Fügen Sie in den globalen Optionen Folgendes hinzu:

acl corpnets { 192.168.1.0/24; 192.168.2.0/24; };
options {
allow-query { any; };
allow-recursion { corpnets; };
};

Microsoft-DNS-Server

Es ist derzeit nicht möglich, rekursive DNS-Anforderungen auf einen bestimmten Clientadressbereich in Microsoft DNS Server zu beschränken. Um die Funktionalität der BIND-Zugriffskontrolllisten im DNS-Server von Microsoft anzunähern, sollte intern ein anderer Nur-Caching-Nameserver eingerichtet werden, um eine rekursive Auflösung bereitzustellen. Es sollte eine Firewall-Regel erstellt werden, um den eingehenden Zugriff auf den Nur-Caching-Server von außerhalb des Unternehmensnetzwerks zu blockieren. Die Funktionalität des autoritativen Nameservers müsste dann auf einem separaten Server gehostet, aber so konfiguriert werden, dass die Rekursion wie zuvor beschrieben deaktiviert wird.

Response Rate Limiting (RRL)

Es gibt derzeit eine experimentelle Funktion, die als eine Reihe von Patches für BIND9 verfügbar ist, die es einem Administrator ermöglicht, die maximale Anzahl von Antworten pro Sekunde zu begrenzen, die vom Nameserver an einen Client gesendet werden. Diese Funktionalität ist nur für die Verwendung auf autoritativen Domänennamenservern vorgesehen, da sie die Leistung rekursiver Resolver beeinträchtigt. Um den effektivsten Schutz zu bieten, empfehlen wir, dass autoritative und rekursive Nameserver auf unterschiedlichen Systemen laufen, wobei RRL auf dem autoritativen Server und Zugriffskontrolllisten auf dem rekursiven Server implementiert werden. Dadurch wird die Effektivität von DNS-Amplification-Angriffen reduziert, indem die Menge des Datenverkehrs von einem einzelnen autoritativen Server reduziert wird, ohne die Leistung der internen rekursiven Resolver zu beeinträchtigen.

BIND9

Derzeit sind Patches für 9.8.latest und 9.9.latest verfügbar, um RRL auf UNIX-Systemen zu unterstützen. Red Hat hat aktualisierte Pakete für Red Hat Enterprise Linux 6 zur Verfügung gestellt, um die notwendigen Änderungen in der Empfehlung RHSA-2013:0550-1 bereitzustellen. Fügen Sie bei der BIND9-Implementierung, auf der die RRL-Patches ausgeführt werden, die folgenden Zeilen in den Optionsblock der maßgeblichen Ansichten ein:

rate-limit {
 responses-per-second 5;
 window 5;
 };

Microsoft-DNS-Server

Diese Option ist derzeit für Microsoft DNS Server nicht verfügbar.


Linux

  1. Wie kann man den Softwarenamen und die Version des Remote-DNS-Servers identifizieren?

  2. Wie kann ich eine Domain parken?

  3. So benennen Sie eine Domäne um

  4. Wie verweise ich mein DNS auf Media Temple?

  5. Wie ändere ich meinen Domainnamen in Plesk?

So installieren Sie die DNS-Rolle auf Windows Server 2012

Gewusst wie:Hinzufügen eines Windows Server 2012 zu einer Domäne

So konfigurieren Sie DNS in Windows Server 2012

So erstellen Sie einen Domänencontroller unter Linux für AD

So installieren und konfigurieren Sie den DNS-Server unter Linux

Was ist DNS und wie funktioniert DNS? (Grundlagen des Domain Name Server)