1 votes

user3085777 avatar

Empêcher complètement les réponses DNS pour un domaine spécifique

Demandé el 6 de Juin, 2013
Quand la question a-t-elle été
4015 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Situation : Server (Win 2008R2) est utilisé dans une attaque DNS (amplification) DDoS. Le facteur d'amplification est déjà réduit à 1 : le serveur DNS a été réglé sur non récursif et tous les indices de racine ont été supprimés -> échec du serveur de réponses DNS pour les domaines ne faisant pas autorité -> taille des requêtes DNS entrantes QE taille des requêtes DNS sortantes.

Cependant, même sans amplification, nous participons malgré tout, ne serait-ce qu'en tant que simple déflecteur (puisque l'adresse de destination a très probablement été usurpée pour diriger le trafic de la réponse DNS vers la cible du DDoS).

Question : Existe-t-il, et si oui, quel est le moyen le plus simple d'empêcher les réponses DNS pour des requêtes DNS de domaines spécifiques ? La raison de cette question est que toutes ces requêtes DNS malveillantes concernent le même domaine mais proviennent d'IP différentes. Le blocage d'IP n'est donc pas vraiment efficace.

Comment filtrer ces requêtes DNS pour des domaines spécifiques et où (le serveur DNS peut-il s'en charger ou cela doit-il être fait au niveau du pare-feu ?)

Demandé el 6 de Juin, 2013 par user3085777

Réponses

Trop de publicités?

3voto

Stephane avatar
Stephane Points 6344

Y a-t-il une raison particulière pour laquelle votre serveur doit répondre à des requêtes externes ?

Idéalement, vous devriez configurer un résolveur externe pour votre résolveur public (utilisé pour résoudre toutes les ressources auxquelles il faut accéder de l'extérieur) : MX, serveur web, etc.), utiliser le serveur DNS Windows uniquement pour votre réseau interne et bloquer toutes les requêtes DNS entrantes au niveau de votre périmètre.

Il y a cependant une chose que vous ne pouvez tout simplement pas empêcher : dès que vous avez un serveur DNS qui répond à des requêtes externes, même si ce n'est que pour votre propre domaine, il peut être utilisé dans une attaque par rebond DNS. Vous pouvez le configurer pour empêcher l'amplification DNS mais pas pour empêcher les simples rebonds. Cela ne devrait pas être un gros problème à moins que vous ne soyez vous-même victime d'un DDoS.

編集する:

La façon typique de configurer les DNS dans une petite (ish) structure est la suivante :

  • Vous utilisez un serveur DNS interne à l'intérieur du périmètre de votre réseau. Ce serveur n'est accessible qu'à partir du réseau interne et des hôtes et réseaux VPN.
  • Pour la résolution externe, vous configurez le serveur interne pour qu'il transmette les requêtes à votre passerelle (généralement un modem-routeur DLS polyvalent) ou directement au serveur DNS de votre fournisseur d'accès. Vous DEVEZ permettre à ce trafic de circuler, mais vous pouvez le limiter assez fortement.
  • Si vous possédez un domaine public, vous utilisez un serveur DNS externe pour l'héberger (en général, au moins deux serveurs). Ces serveurs doivent être configurés pour répondre aux requêtes concernant les zones pour lesquelles ils font autorité et UNIQUEMENT à ces requêtes. (Il existe de nombreuses offres d'hébergement DNS et pratiquement tous les hébergements de domaines sont fournis avec une telle offre).
Répondu el 6 de Juin, 2013 par Stephane (6344 Points )

0voto

Nilbert avatar
Nilbert Points 507

L'attaque par amplification fonctionne très bien même si la récursivité est désactivée et si l'on interroge des domaines pour lesquels le serveur est pas qui fait autorité pour.

Le paquet UDP entrant (avec la fausse IP) est de 72 octets si je me souviens bien, et si la zone point (.) n'est pas configurée avec zéro enregistrement, la réponse peut atteindre 720 octets....un facteur de 10.

  1. Assurez-vous que la récursivité est désactivée s'il s'agit d'un serveur faisant autorité.
  2. Configurez la zone point (.) sans enregistrement, un SOA est suffisant et ne modifiera pas la taille de la réponse.

Après cette opération, la réponse sera d'environ 90+ octets, de sorte que l'essentiel de l'effet d'amplification aura disparu.

En ce qui concerne le filtrage des requêtes pour des domaines spécifiques, je pense que le seul système d'exploitation Microsoft qui le fera est Server 2016 avec la nouvelle politique de requête DNS. La seule mise à jour majeure du DNS que je vois, est la limitation du taux de réponse que bind a eu pendant des années.

Comme d'autres l'ont dit, s'il s'agit d'un réseau récursif pour un réseau interne ou des clients spécifiques, bloquez tous les accès au port 53 à l'exception des IP que vous voulez autoriser.

Par ailleurs, je prends le pari qu'un grand nombre de ceux qui se font épingler par de fausses requêtes, le feront pour freeinfosys.com.

Répondu el 6 de Mars, 2016 par Nilbert (507 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X