Приветствую Вас Гость | RSS

Меню сайта

Мини-чат

Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Главная » 2015 » Июнь » 28 » Защита DNS сервера (DNS Amplification DDoS) : Dns Amplification методы атаки
08:46
Защита DNS сервера (DNS Amplification DDoS) : Dns Amplification методы атаки

Защита DNS сервера (DNS Amplification DDoS)

Пару дней назад  заметил странную активность, направленную на мой DNS-сервер. Сразу скажу, что использую шлюз на Linux, соответственно там установлен DNS-сервер bind. Активность заключалась в том, что на порт 53 (DNS) моего сервера сыпалось по несколько UDP пакетов в секунду с различных IP-адресов:

10:30:42.152234 IP 82.128.210.172.52254 > MY_IP.53: 22912+ NS?. (17)
10:30:42.152818 IP MY_IP.53 > 82.128.210.172.52254: 22912 Refused- 0/0/0 (17)


  Как видно из лога, сервер отвечал отказами. Естественно мне стало интересно, что за IP-адреса долбят мой DNS. Посмотрев несколько адресов через whois я определил, что это крупные хостинговые компании, я написал просьбу прекратить атаку на мой сервер в техподдержку некоторых из них. В ответ я получил отписку, что этот тип атаки относится к тем, что они не могут блокировать, и что они сами они страдают от этой аномальной активности. Было решено со всем разбираться самому.

Основные симптомы:

DNS Amplification DDoS: Анатомия атаки и защиты. Часть 2

27 дек 2012 ... DNS Amplification DDoS: Анатомия атаки и защиты. ... обнаружения скрытых
субдоменов методом перебора, поиска требуемых хостов ...
http://blogerator.ru/page/dns-amplification-ddos-otrazhenie-bind-dns-reflect-attack-chast-2

  • Ваш сервер сильно тормозит.

  • Вы можете наблюдать неоправданно значительный исходящий трафик udp пакетов.

Проверяем командой:

tcpdump proto UDP -n

Или утилитой iptraf:

iptraf udp

Решение:

Обновление пакетов

Обновите bind. Старые версии более подвержены уязвимости и имеют еще несколько дырок кроме этой.

Для Centos:

yum install bind  

Для Debian (Ubuntu):

apt-get install bind9  
Проверка рекурсии:

Проверьте выполняет ли ваш DNS сервер рекурсивные запросы. В этом случае кто угодно через ваш сервер может получить сведения о любом домене. Этого не должно быть. Ваш сервер должен обслуживать только ваши домены. Те, что прописаны на этом сервере. То есть - кто угодно в интернете может получить от вашего сервера подробные сведения только о вашем домене, рекурсивно перенаправлять запросы на другие домены (серверы) должно быть запрещено.

DoS-атака — Википедия

3.4.1 DoS-атаки на уязвимости в программном обеспечении на DNS-
серверах ... все известные на сегодняшний день методы атак, в том числе
реализуемые и при ..... CloudFlare blog, Deep Inside a DNS Amplification DDoS
Attack.
https://ru.wikipedia.org/wiki/DoS-%D0%B0%D1%82%D0%B0%D0%BA%D0%B0

Это создает условия для проведения DDOS атак методом DNS Amplification (DNS усиление). Ваш сервер, являясь соучастником таких атак, при этом очень перенапрягается и сильно тормозит при отсутствии признаков большой нагрузки.

Для проверки рекурсии вы должны запросить у вашего сервера сведения о чужом домене:

host -a ya.ru <IP адрес вашего сервера>

или

В Рунете резко усилились DDoS-атаки - Вести.Hi-tech

3 июл 2013 ... Первая подобная атака началась на сайт "Новой газеты" 31 марта ... Вторая,
с использованиям того же метода DNS Amplification, была ...
http://hitech.vesti.ru/news/view/id/2328

dig -t all ya.ru @<IP адрес вашего сервера>

Команда должна выполнятся извне, для таких запросов, выполняемых непосредственно на вашем сервере, рекурсия должна выполняться.

 Ответ защищенного сервера (не поддерживающего рекурсию):

host ya.ru 77.72.133.217 Using domain server: Name: 77.72.133.217 Address: 77.72.133.217#53 Aliases: Host ya.ru.keyweb.ru not found: 5(REFUSED)  
Если ваш сервер выдаст вам подробную информацию о домене, то ваш сервер уязвим. Рекурсию надо отключить.
host ya.ru 77.72.133.216 Using domain server: Name: 77.72.133.216 Address: 77.72.133.216#53 Aliases: ya.ru has address 213.180.204.3 ya.ru has address 77.88.21.3 ya.ru has address 87.250.250.3 ya.ru has address 87.250.250.203 ya.ru has address 87.250.251.3 ya.ru has address 93.158.134.3 ya.ru has address 93.158.134.203 ya.ru has address 213.180.193.3 ya.ru mail is handled by 10 mx.yandex.ru.

Если в указанных командах указать имя ваших доменов которые прописаны на этом сервере, то вы должны получить подробный ответ.

Отключение рекурсии:

Отключение рекурсии в DNS Named (Bind) На CentOS выполняется в файле: /etc/named.conf

На Debian (Ubuntu): /etc/bind/named.conf.options

И в самый верх файла /etc/named.conf (CentOS ):

options { recursion no; };

Или в существующий блок значений options файла /etc/bind/named.conf.options (Debian) добавляем следующее:

recursion no;

Затем перезапускаем демон named (CentOS):

/etc/init.d/named restart

или Debian/Ubuntu:

/etc/init.d/bind9 restart

Не должно быть сообщений об ошибках

Проверка:
Снова следует проверить работу вашей службы DNS и доступность рекурсии.
Через некоторое время проверьте как изменился трафик на вашем сервере.

Примечание:

Как видите хотя трафик был относительно небольшой, но огромное количество мелких UDP пакетов создавало загрузку (Load Average) этого сервера при минимальном количестве клиентов на уровне 30 единиц.

Предотвращаем участие в dns amplification attack или опыт ...

21 окт 2013 ... Атака строится на отправке DNS запроса к какому либо DNS серверу с ...
Основные методы борьбы, применимые на dns серверах: ...
http://habrahabr.ru/post/198264/



vebs.ru
Просмотров: 564 | Добавил: assuent | Рейтинг: 0.0/0
Всего комментариев: 0
  Мой сайт   Главная   Регистрация   Вход  
Вход на сайт

Поиск

Календарь
«  Июнь 2015  »
ПнВтСрЧтПтСбВс
1234567
891011121314
15161718192021
22232425262728
2930

Архив записей

Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz

    		•

    Copyright MyCorp © 2024 Бесплатный конструктор сайтов - uCoz