J'ai un serveur Windows 2008, qui exécute un serveur DNS pour les sites Web qui fonctionnent sur ce serveur. J'ai signalé que notre serveur a été utilisé pour une attaque par amplification DNS. dans les journaux, je vois de nombreuses requêtes concernant isc.org. Comment puis-je configurer mon serveur DNS Windows pour ne répondre qu'aux requêtes concernant les sites locaux ? J'ai supprimé toutes les indications root et les renvois, mais il continue de recevoir et de répondre aux requêtes concernant isc.org
Réponses
Trop de publicités?
frameworkninja
Points
628
OK - première chose à faire : Soit pare-feu votre serveur pour que les personnes en dehors de votre organisation ne puissent pas y accéder, soit désactiver la récursivité:
- Ouvrez Gestionnaire DNS.
- Dans l'arborescence de la console, cliquez avec le bouton droit sur le serveur DNS applicable, puis cliquez sur Propriétés.
- Cliquez sur l'onglet Avancé.
- Dans Options du serveur, sélectionnez la case à cocher Désactiver la récursivité, puis cliquez sur OK.
(Chris a posté une image pratique de la page et de l'option que vous souhaitez activer)
Faites-le maintenant.
Maintenant que vous ne cassez plus activement Internet vous pouvez lire sur les attaques par amplification DNS, comment elles se produisent, pourquoi elles sont nuisibles, et certaines des choses que vous pouvez faire pour éviter d'être une pièce dans ce jeu.
Vous voudrez peut-être aussi lire cet article Technet sur DNSSEC et les attaques par amplification DNS qui inclut des références informatives.
Vous pouvez ensuite déterminer la meilleure façon d'empêcher votre serveur d'être utilisé dans de telles attaques.
Généralement, vous ferez cela en répondant uniquement aux requêtes récursives pour un groupe connu d'hôtes (vos machines internes), mais d'autres options existent également.
Nilbert
Points
507
Désactiver la récursivité ne permet pas d'arrêter les attaques sur les serveurs publics.
Le problème est que la requête fait environ 94 octets et la réponse (indiquant qu'il s'agit d'un NXDOMAIN) nécessite un minimum de 119 octets, donc l'attaque est légèrement amplifiée et provient presque toujours d'une adresse IP falsifiée.
Vous devez également avoir la zone point (.) sans enregistrements pour que la réponse ne dépasse pas 119 octets.
La plupart de ces attaques demanderont pour freeinfosys.com
Aucune des mesures ci-dessus n'arrête l'attaque elle-même, mais la réduira son efficacité.
Lorsque le serveur DNS est un serveur d'autorité public, il doit permettre les requêtes de n'importe qui et de n'importe où pour les zones qu'il gère, donc vous ne pouvez pas limiter par IP et d'autres étapes que vous pouvez utiliser pour les serveurs DNS privés ou internes.
La prochaine version du DNS de Microsoft qui sort avec 2016 aura RRL qui aidera beaucoup, dommage qu'ils n'aient pas publié cette fonctionnalité tant attendue que Bind a depuis des années.
Nilbert
Points
507
Lorsque vous exécutez un serveur DNS autoritaire et des script kiddies jerkwad ou des personnes voulant causer un trafic supplémentaire à votre serveur DNS peuvent et VONT envoyer des requêtes à votre serveur DNS (à partir d'adresses IP usurpées) pour des domaines pour lesquels votre serveur n'est PAS autoritaire.
Si la zone (.) point n'existe pas, même avec la récursion désactivée, le serveur essaiera de répondre à cette requête.
Seulement lorsque vous créez la zone point, vous pouvez réduire la réponse à ce que j'ai indiqué 119 octets. Et si je me souviens bien, à chaque fois que vous commencez à remplir la zone point avec des enregistrements autres que le SOA, les paquets de réponse deviennent plus gros.
Maintenant, si vous avez un exemple concret et des preuves que faire autre chose arrêtera ce type d'attaque à 100%, je suis tout ouïe et aimerait vraiment voir une autre réponse.
J'ai étudié cela depuis un certain temps et j'ai essayé beaucoup de choses, et selon mes recherches, ce que j'ai détaillé ci-dessus semble être la meilleure façon de réduire au maximum la réponse sortante.
Si vous ne l'avez pas déjà fait, renseignez-vous sur le domaine que j'ai mentionné ainsi que sur les attaques DNS car c'est le nom de domaine le plus demandé dans ce type d'attaque.
Il est vrai que cela est souvent associé à une attaque sur un serveur récursif, mais ce genre d'attaques SE produisent sur des serveurs autoritaires avec la récursion désactivée.
J'ai des serveurs en cours d'exécution avec les indications de la racine effacées, avec la récursion désactivée, et j'ai passé beaucoup de temps à étudier les paquets avec Wireshark lors de ce type d'attaques et je n'ai jamais vu une réponse comme celle que vous avez détaillée. (J'avoue que je connais juste assez bien Wireshark pour être légèrement dangereux)
Avez-vous ou connaissez-vous une démo en direct ou un laboratoire où je pourrais voir cela en action? Savez-vous quelle serait la taille de cette réponse puisque toute réduction de la taille du paquet serait une amélioration?
La manière dont un autre logiciel de serveur DNS répond ne répond PAS aux questions du serveur DNS Microsoft car la question d'origine concernait Server 2008.
Nilbert
Points
507
Soit dit en passant, il y a aussi la liste des blocs de requêtes, mais cela ne refuse PAS non plus les requêtes pour les domaines de la liste.
Assez curieusement, comme j'étais en train de subir ce type d'attaque, j'ai essayé DE NOUVEAU l'une des suggestions.
J'ai supprimé la zone racine et j'ai reçu un avertissement indiquant qu'il était nécessaire d'ajouter des indications de la racine, mais je l'ai ignoré.
J'ai arrêté puis redémarré les services DNS et je me suis assuré que les indications de la racine étaient toujours vides.
Les paquets de réponse sont passés de 119 octets à plus de 700 octets, donc maintenant j'amplifiais l'attaque par un facteur de 10.
Donc, si quelqu'un m'envoie un mégaoctet, j'envoie 10 fois la bande passante pour des requêtes pour lesquelles je ne suis pas autorisé à un adresse IP qui n'a pas envoyé la demande.
J'aurais vraiment aimé que la suggestion fonctionne et j'étais sûr d'avoir déjà essayé cela auparavant, mais je l'ai fait à nouveau, car j'avais justement une attaque en direct pour l'essayer.
