GNU/Linux >> Linux Esercitazione >  >> Linux

Procedura:attacco di amplificazione del server dei nomi di dominio (DNS).

Introduzione

Un attacco di amplificazione DNS (Domain Name Server) è una forma popolare di DDoS (Distributed Denial of Service), in cui gli aggressori utilizzano server DNS aperti pubblicamente accessibili per inondare un sistema di destinazione con traffico di risposta DNS. La tecnica principale consiste in un utente malintenzionato che invia una richiesta di ricerca del nome DNS a un server DNS aperto con l'indirizzo di origine falsificato per essere l'indirizzo di destinazione.

rif:https://www.us-cert.gov/ncas/alerts/TA13-088A

Disabilitazione della ricorsione su server dei nomi autorevoli

Molti dei server DNS attualmente distribuiti su Internet sono destinati esclusivamente a fornire la risoluzione dei nomi per un singolo dominio. In questi sistemi, la risoluzione DNS per i sistemi client privati ​​può essere fornita da un server separato e il server autorevole funge solo da fonte DNS di informazioni sulla zona per i client esterni. Questi sistemi non devono supportare la risoluzione ricorsiva di altri domini per conto di un client e devono essere configurati con la ricorsione disabilitata.

Lega9

Aggiungi quanto segue alle opzioni globali:

options {
 allow-query-cache { none; };
 recursion no;
 };

Server DNS Microsoft

Nello strumento della console Microsoft DNS:

  1. Fai clic con il pulsante destro del mouse sul server DNS e fai clic su Proprietà.
  2. Fai clic sulla scheda Avanzate.
  3. In Opzioni server, seleziona la casella di controllo "Disabilita ricorsione", quindi fai clic su OK.

Limitare la ricorsione ai clienti autorizzati

Per i server DNS distribuiti all'interno di un'organizzazione o di un provider di servizi Internet, il risolutore deve essere configurato per eseguire query ricorsive solo per conto dei client autorizzati. Queste richieste in genere dovrebbero provenire solo da client all'interno dell'intervallo di indirizzi di rete dell'organizzazione. Consigliamo vivamente a tutti gli amministratori di server di limitare la ricorsione ai soli client sulla rete dell'organizzazione.

BIND9

Nelle opzioni globali, includi quanto segue:

acl corpnets { 192.168.1.0/24; 192.168.2.0/24; };
options {
allow-query { any; };
allow-recursion { corpnets; };
};

Server DNS Microsoft

Al momento non è possibile limitare le richieste DNS ricorsive a un particolare intervallo di indirizzi client in Microsoft DNS Server. Per approssimare la funzionalità degli elenchi di controllo di accesso BIND nel server DNS di Microsoft, è necessario configurare internamente un server dei nomi di sola memorizzazione nella cache per fornire una risoluzione ricorsiva. È necessario creare una regola firewall per bloccare l'accesso in ingresso al server di sola memorizzazione nella cache dall'esterno della rete dell'organizzazione. La funzionalità del server dei nomi autorevole dovrebbe quindi essere ospitata su un server separato, ma configurata per disabilitare la ricorsione come descritto in precedenza.

Limitazione del tasso di risposta (RRL)

Attualmente è disponibile una funzionalità sperimentale come set di patch per BIND9 che consente a un amministratore di limitare il numero massimo di risposte al secondo inviate a un client dal server dei nomi. Questa funzionalità deve essere utilizzata solo su server di nomi di dominio autorevoli poiché influirà sulle prestazioni dei risolutori ricorsivi. Per fornire la protezione più efficace, consigliamo che i server dei nomi autorevoli e ricorsivi vengano eseguiti su sistemi diversi, con RRL implementato sul server autorevole e liste di controllo di accesso implementate sul server ricorsivo. Ciò ridurrà l'efficacia degli attacchi di amplificazione DNS riducendo la quantità di traffico proveniente da un singolo server autorevole senza influire sulle prestazioni dei resolver ricorsivi interni.

BIND9

Attualmente sono disponibili patch per 9.8.latest e 9.9.latest per supportare RRL su sistemi UNIX. Red Hat ha reso disponibili pacchetti aggiornati per Red Hat Enterprise Linux 6 per fornire le modifiche necessarie nell'advisory RHSA-2013:0550-1. Sull'implementazione di BIND9 che esegue le patch RRL, includi le seguenti righe nel blocco delle opzioni delle viste autorevoli:

rate-limit {
 responses-per-second 5;
 window 5;
 };

Server DNS Microsoft

Questa opzione non è attualmente disponibile per Microsoft DNS Server.


Linux
  1. Come identificare il nome del software del server DNS remoto e la sua versione?

  2. Come parcheggiare un dominio?

  3. Come rinominare un dominio

  4. Come si usa il Gestore DNS di base?

  5. Come simulare il timeout di risposta del server DNS?

Come installare il ruolo DNS su Windows Server 2012

Procedura:Unire un Windows Server 2012 a un dominio

Come configurare il DNS in Windows Server 2012

Come creare un controller di dominio su Linux per AD

Come installare e configurare il server DNS in Linux

Che cos'è il DNS e come funziona il DNS? (Nozioni fondamentali sul server dei nomi di dominio)