Mik*_*son 11 domain-name-system linux firewall bind ddos
这个词Amplified reflected attack对我来说很陌生,我有几个问题。
我听说它主要发生在 DNS 服务器上 - 是真的吗?
你如何防范它?
您如何知道您的服务器是否可以用于此类攻击——这是配置问题吗?
Kar*_*box 23
首先,这种攻击并不(主要)如您的标题所暗示的那样针对 DNS 本身。它当然会在 DNS 服务器上产生一些额外的负载,但主要目的是对其他人进行 DDoS。糟糕的服务器配置可能会使情况变得更糟,但最终这个问题是 DNS 和 UDP 设计中固有的,事实上,任何无状态通信协议都是如此。
它基本上是这样工作的:攻击者将普通 (DNS) 查询发送到 (DNS) 服务器。这些查询被伪造,看起来好像它们来自目标系统。DNS 服务器现在回答查询,将回答发送回其声称的来源 - 受害者。这就是为什么它被称为反射攻击。
这是可能的,因为您可以像信任明信片上的发件人地址一样验证无状态通信的来源(如 UDP 上的 DNS)。服务器无法确定查询是合法的还是此类攻击的一部分。DNS 只是这里最流行的协议,因为周围有很多服务器,你不需要太多的技术洞察力或特殊设备来(误)使用它。
为了让事情变得更糟(并且完全具有攻击效率),请查看放大部分。如果攻击者的流量与产生的流量大小相等,那不会有太大的危害。攻击者唯一的好处是他的地址隐藏在 DNS 服务器后面。他可以直接伪造发件人地址,完全不需要通过DNS重新路由。但是 DNS 的答案,这也是 DNS 在这里如此受欢迎的另一个原因,可能比问题要大得多。您可以根据所使用的确切查询找到不同的数字,但如果服务器足够友好以执行递归查询,则可以达到1:60为你。因此,攻击者不需要他控制的许多机器来产生大量恶意流量。
正如您可以在公共互联网上轻松找到成百上千的“开放”DNS 服务器一样,您可以快速计算一下,如果攻击者所知道的每个开放 DNS 服务器都将其查询放大了 60 倍到目标,那么攻击者需要做的工作是多么少。正如我在开头所说的,没有真正的好方法来应对这一点。当然,由于配置错误,许多 DNS 服务器对所有人开放,而它们不应该开放。但是有许多开放服务器必须开放,因为这正是他们的目的。
虽然您无法判断请求是否属于攻击的一部分,但您唯一的选择是不再运行服务器。你可以摆弄速率限制和其他玩具,但你不能完全摆脱它。如果您提供 DNS 是为了好玩,您可以将请求的源 IP 列入黑名单。但如果你的规模更大,这会对受害者造成更大的伤害。请记住,您在 DNS 服务器上只能看到受害者的地址。想象一下,您的公司正在通过您的提供商的 DNS 受到攻击,您的提供商决定为您的公司切断 DNS 服务。攻击者可以将其作为拒绝服务的无数奖励积分。
总之,这些攻击日夜发生,被认为是互联网的“背景噪音”。如果您设置了公共(递归)DNS 服务器,那么您很快就会参与随机攻击。当然,当大型基础设施(甚至是 dns 根服务器)被滥用来放大时,有时事情会变得非常糟糕,但在这种情况下,人员会采取主动对策,直到攻击下降到“正常”水平。
教学到此为止。最后回答你的问题:
如果您的服务器不受限制地回答查询,您就知道它很容易受到攻击。时期。如果您正在提供递归查询,您的服务器可以为攻击者生成上述 1:60 的比率。如果它仅用于非递归,它并没有那么糟糕,但仍然......
所以...
allow-recursion和allow-query指令allow-recursion为“无”;.
iptables -A INPUT -p udp --dport 53 --set --name dnslimit
iptables -A INPUT -p udp --dport 53 -m recent --update --seconds 60 --hitcount 11 --name dnslimit -j DROP
现在,考虑到这些要点,您应该可以开始了。您的服务器上可能仍然时不时地存在恶意流量,但数量不会让您睡个好觉。
| 归档时间: |
|
| 查看次数: |
2460 次 |
| 最近记录: |