Re: [freebsd] dns amplification attack
On 12/10/13 14:05, greenh wrote: Господа, подскажите плз, как с этой дрянью бороться мне тут хостер намекнул, что мои ДНС сервера для этого используют, и tcpdump намекает, что они похоже правы Как с этим можно бороться? Гугление что то не дало вменяемых результатов. # tcpdump -i em1 port 53 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on em1, link-type EN10MB (Ethernet), capture size 65535 bytes 14:01:10.112093 IP n11212086169.netvigator.com.41033 92.241.171.233.domain: 37722+ [1au] A? a.packetdevil.com http://a.packetdevil.com. (46) У вас открта рекурсия для всех? Откройте только для localhost и сетей в которых живут другие ваши сервера (если такие есть). Если у вас bind, то что то вроде acl mynet { 127.0.0.0/8; 10.0.0.0/8; }; options { ... allow-recursion { mynet; }; ... } Если своих зон на этом сервере нет, то и allow-query { mynet; }; Если же есть свои зоны, то лучше перенести их на nsd (и настроить там rate limit).
Re: [freebsd] dns amplification attack
10 декабря 2013 г., 12:11 пользователь Anton Yuzhaninov cit...@citrin.ruнаписал: On 12/10/13 14:05, greenh wrote: Господа, подскажите плз, как с этой дрянью бороться мне тут хостер намекнул, что мои ДНС сервера для этого используют, и tcpdump намекает, что они похоже правы Как с этим можно бороться? Гугление что то не дало вменяемых результатов. # tcpdump -i em1 port 53 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on em1, link-type EN10MB (Ethernet), capture size 65535 bytes 14:01:10.112093 IP n11212086169.netvigator.com.41033 92.241.171.233.domain: 37722+ [1au] A? a.packetdevil.com http://a.packetdevil.com. (46) У вас открта рекурсия для всех? Откройте только для localhost и сетей в которых живут другие ваши сервера (если такие есть). Если у вас bind, то что то вроде acl mynet { 127.0.0.0/8; 10.0.0.0/8; }; options { ... allow-recursion { mynet; }; ... } Если своих зон на этом сервере нет, то и allow-query { mynet; }; Если же есть свои зоны, то лучше перенести их на nsd (и настроить там rate limit). У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы?
Re: [freebsd] dns amplification attack
Hello, greenh! On Tue, Dec 10, 2013 at 12:17:29PM +0200 gre...@gmail.com wrote about Re: [freebsd] dns amplification attack: 10 декабря 2013 г., 12:11 пользователь Anton Yuzhaninov cit...@citrin.ruнаписал: On 12/10/13 14:05, greenh wrote: Господа, подскажите плз, как с этой дрянью бороться мне тут хостер намекнул, что мои ДНС сервера для этого используют, и tcpdump намекает, что они похоже правы ... Если своих зон на этом сервере нет, то и allow-query { mynet; }; Если же есть свои зоны, то лучше перенести их на nsd (и настроить там rate limit). У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы? Важно предоставлять рекурсию только своим пользователям, а не всему интернету. Атака простая -- атакующий подставляет адрес жертвы и якобы с него отправляет запрос, в котором ожидается большой ответ. Ваш сервер исправно отвечает и ответы летят к невинным жертвам. Бывает, что летят некислым таким потоком... :( -- Lystopad Aleksandr
Re: [freebsd] dns amplification attack
Hello! On Tue, 10 Dec 2013 at 12:17:29 (+0200), greenh wrote: У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы? Рекурсию для _чужих_ отключать _нужно_. Тем более, если Вы не предоставляете бесплатный общедоступный рекурсер аля google-public-dns-a.google.com. Если свои зоны, то allow-query для всех, allow-recursion и allow-query-cache - только для локалхоста, своих и доверенных сетей, а allow-transfer - только для secondary dns серверов. -- George L. Yermulnik [YZ-RIPE]
Re: [freebsd] dns amplification attack
On 12/10/13 14:17, greenh wrote: У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы? В данномслучае да, прикрытия рекурсии через ACL хватит. (если packetdevil.com это не ваш домена, а он похоже не ваш). Но authoritative DNS тоже могут использоваться для подобных аттак, хоть и менее эффективно. И тут поможет Response Rate Limiting, который есть в NSD и bind10
Re: [freebsd] dns amplification attack
10 декабря 2013 г., 12:29 пользователь Anton Yuzhaninov cit...@citrin.ruнаписал: On 12/10/13 14:17, greenh wrote: У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы? В данномслучае да, прикрытия рекурсии через ACL хватит. (если packetdevil.com это не ваш домена, а он похоже не ваш). Но authoritative DNS тоже могут использоваться для подобных аттак, хоть и менее эффективно. И тут поможет Response Rate Limiting, который есть в NSD и bind10 В приведенном логе вообще нет наших зон. я их вырезал, для наглядности
Re: [freebsd] dns amplification attack
Anton Yuzhaninov wrote: У меня свои зоны. По идее рекурсию можно отключать и это решит вопросы? В данномслучае да, прикрытия рекурсии через ACL хватит. (если packetdevil.com это не ваш домена, а он похоже не ваш). Но authoritative DNS тоже могут использоваться для подобных аттак, хоть и менее эффективно. И тут поможет Response Rate Limiting, который есть в NSD и bind10 В bind 9.9.4 тоже есть. -- Константин Стефанов Египетский бог Сет отвечал за переменные окружения.
Re: [freebsd] dns amplification attack
Hello! On Tue, 10 Dec 2013 at 14:46:00 (+0400), Constantin Stefanov wrote: Но authoritative DNS тоже могут использоваться для подобных аттак, хоть и менее эффективно. И тут поможет Response Rate Limiting, который есть в NSD и bind10 В bind 9.9.4 тоже есть. И в 9.8.6, судя по Makefile порта, есть через патч. Работоспособность не проверял. -- George L. Yermulnik [YZ-RIPE]