Re: [freebsd] dns amplification attack
On 12/10/13 14:05, greenh wrote:
Господа, подскажите плз, как с этой дрянью бороться
мне тут хостер намекнул, что мои ДНС сервера для этого используют, и tcpdump
намекает, что они похоже правы
Как с этим можно бороться? Гугление что то не дало вменяемых результатов.
# tcpdump -i em1 port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 65535 bytes
14:01:10.112093 IP n11212086169.netvigator.com.41033 92.241.171.233.domain:
37722+ [1au] A? a.packetdevil.com http://a.packetdevil.com. (46)
У вас открта рекурсия для всех? Откройте только для localhost и сетей в которых
живут другие ваши сервера (если такие есть).
Если у вас bind, то что то вроде
acl mynet {
127.0.0.0/8;
10.0.0.0/8;
};
options {
...
allow-recursion { mynet; };
...
}
Если своих зон на этом сервере нет, то и
allow-query { mynet; };
Если же есть свои зоны, то лучше перенести их на nsd (и настроить там rate
limit).
Re: [freebsd] dns amplification attack
10 декабря 2013 г., 12:11 пользователь Anton Yuzhaninov
cit...@citrin.ruнаписал:
On 12/10/13 14:05, greenh wrote:
Господа, подскажите плз, как с этой дрянью бороться
мне тут хостер намекнул, что мои ДНС сервера для этого используют, и
tcpdump
намекает, что они похоже правы
Как с этим можно бороться? Гугление что то не дало вменяемых результатов.
# tcpdump -i em1 port 53
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em1, link-type EN10MB (Ethernet), capture size 65535 bytes
14:01:10.112093 IP n11212086169.netvigator.com.41033
92.241.171.233.domain:
37722+ [1au] A? a.packetdevil.com http://a.packetdevil.com. (46)
У вас открта рекурсия для всех? Откройте только для localhost и сетей в
которых живут другие ваши сервера (если такие есть).
Если у вас bind, то что то вроде
acl mynet {
127.0.0.0/8;
10.0.0.0/8;
};
options {
...
allow-recursion { mynet; };
...
}
Если своих зон на этом сервере нет, то и
allow-query { mynet; };
Если же есть свои зоны, то лучше перенести их на nsd (и настроить там rate
limit).
У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы?
Re: [freebsd] dns amplification attack
Hello, greenh!
On Tue, Dec 10, 2013 at 12:17:29PM +0200
gre...@gmail.com wrote about Re: [freebsd] dns amplification attack:
10 декабря 2013 г., 12:11 пользователь Anton Yuzhaninov
cit...@citrin.ruнаписал:
On 12/10/13 14:05, greenh wrote:
Господа, подскажите плз, как с этой дрянью бороться
мне тут хостер намекнул, что мои ДНС сервера для этого используют, и
tcpdump
намекает, что они похоже правы
...
Если своих зон на этом сервере нет, то и
allow-query { mynet; };
Если же есть свои зоны, то лучше перенести их на nsd (и настроить там rate
limit).
У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы?
Важно предоставлять рекурсию только своим пользователям, а не всему
интернету. Атака простая -- атакующий подставляет адрес жертвы и
якобы с него отправляет запрос, в котором ожидается большой ответ.
Ваш сервер исправно отвечает и ответы летят к невинным жертвам.
Бывает, что летят некислым таким потоком... :(
--
Lystopad Aleksandr
Re: [freebsd] dns amplification attack
Hello! On Tue, 10 Dec 2013 at 12:17:29 (+0200), greenh wrote: У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы? Рекурсию для _чужих_ отключать _нужно_. Тем более, если Вы не предоставляете бесплатный общедоступный рекурсер аля google-public-dns-a.google.com. Если свои зоны, то allow-query для всех, allow-recursion и allow-query-cache - только для локалхоста, своих и доверенных сетей, а allow-transfer - только для secondary dns серверов. -- George L. Yermulnik [YZ-RIPE]
Re: [freebsd] dns amplification attack
On 12/10/13 14:17, greenh wrote: У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы? В данномслучае да, прикрытия рекурсии через ACL хватит. (если packetdevil.com это не ваш домена, а он похоже не ваш). Но authoritative DNS тоже могут использоваться для подобных аттак, хоть и менее эффективно. И тут поможет Response Rate Limiting, который есть в NSD и bind10
Re: [freebsd] dns amplification attack
10 декабря 2013 г., 12:29 пользователь Anton Yuzhaninov cit...@citrin.ruнаписал: On 12/10/13 14:17, greenh wrote: У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы? В данномслучае да, прикрытия рекурсии через ACL хватит. (если packetdevil.com это не ваш домена, а он похоже не ваш). Но authoritative DNS тоже могут использоваться для подобных аттак, хоть и менее эффективно. И тут поможет Response Rate Limiting, который есть в NSD и bind10 В приведенном логе вообще нет наших зон. я их вырезал, для наглядности
Re: [freebsd] dns amplification attack
Anton Yuzhaninov wrote: У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы? В данномслучае да, прикрытия рекурсии через ACL хватит. (если packetdevil.com это не ваш домена, а он похоже не ваш). Но authoritative DNS тоже могут использоваться для подобных аттак, хоть и менее эффективно. И тут поможет Response Rate Limiting, который есть в NSD и bind10 В bind 9.9.4 тоже есть. -- Константин Стефанов Египетский бог Сет отвечал за переменные окружения.
Re: [freebsd] dns amplification attack
Hello! On Tue, 10 Dec 2013 at 14:46:00 (+0400), Constantin Stefanov wrote: Но authoritative DNS тоже могут использоваться для подобных аттак, хоть и менее эффективно. И тут поможет Response Rate Limiting, который есть в NSD и bind10 В bind 9.9.4 тоже есть. И в 9.8.6, судя по Makefile порта, есть через патч. Работоспособность не проверял. -- George L. Yermulnik [YZ-RIPE]
