domain-name-system – 面向公众的递归DNS服务器 – iptables规则

逐步淘汰：告诉客户该服务器自X日期起即将消失.在那之后,他们需要安装一个补丁(假设你有一个)来阻止它使用你的DNS服务器.这是一直这样做的.系统管理员,网络管理员,帮助台人员,程序员？我们懂了;这种生命终结事情一直在发生,因为供应商/服务提供商/合作伙伴的标准操作程序告诉我们在X日期之后停止使用某些东西.我们并不总是喜欢它,但它是IT生活中的事实.

您说您在当前设备上没有此问题,因此我假设您已通过固件更新或修补程序解决了此问题.我知道你说你不能触摸设备,但他们肯定可以吗？我的意思是,如果他们允许这些盒子基本上给你打电话回家,那么他们真的不应该知道谁在为他们的设备做什么;您可以为他们所知道的所有人设置反向代理设置,那么为什么不让他们安装补丁来修复此问题或告诉他们使用自己的DNS服务器.当然,您的设备支持DHCP;我想不出一个没有的网络设备(无论多大/体弱/奇怪).

如果你不能这样做,接下来要做的是控制谁可以访问你的递归服务器：你说“很难说”谁在使用它以及如何使用它,但现在是时候找出确定并开始放弃流量了不合法.

这些是“准军事/政府”组织,对吧？好吧,它们可能是他们拥有的合法网络块的一部分;这些设备不是动态IP背后的家用路由器.找出.联系他们,解释问题以及如何通过不强制固件或产品更换来节省他们的大量资金,只要他们能够确认设备将用于访问您的DNS服务器的网络/ IP地址.

这是一直这样做的：我有几个客户以这种方式限制外联网访问或HL7监听器给医疗保健合作伙伴;让他们填写表格并提供我应该期望来自的流量的IP和/或网络并不困难：如果他们想要访问外联网,他们必须给我一个IP或子网.这很少是一个不断变化的目标,所以你不会每天都被数以百计的IP变更请求所淹没：拥有数百个子网和数千个主机IP的大型校园医院网络经常给我我应该期待的少数IP地址或子网;再次,这些不是笔记本电脑用户一直在校园里闲逛,为什么我期望看到来自不断变化的IP地址的UDP源数据包呢？很明显,我在这里做了一个假设,但我敢打赌,这并不像你想象的那么多. 100多台设备.是的,这将是一个冗长的ACL,是的,它需要一些维护和沟通(喘气！)但它是完全关闭它之外的下一个最好的事情.

如果由于某种原因,通信渠道没有打开(或者某人太害怕或无法联系这些传统设备所有者并且正确地做到这一点),您需要建立正常使用/活动的基线,以便您可以制定一些其他策略可以帮助(但不能阻止)您参与DNS放大攻击.

长时间运行的tcpdump应该对传入的UDP 53进行过滤,并对DNS服务器应用程序进行详细的日志记录.我还想开始收集源IP地址/ netblocks / geoIP信息(你所有的客户都在美国吗？阻止其他一切)因为,正如你所说,你没有添加任何新设备,你只是提供一个传统为现有设施提供服务.

这也将帮助您了解所请求的记录类型,以及由哪些域,由谁以及以何种频率：为了使DNS放大按预期工作,攻击者需要能够请求大记录类型(1)到功能域(2).

>“大记录类型”：您的设备甚至需要TXT或SOA记录才能通过递归DNS服务器解析？您可以在DNS服务器上指定哪些记录类型有效;我相信它可能与BIND和Windows DNS有关,但你必须做一些挖掘.如果您的DNS服务器使用SERVFAIL响应任何TXT或SOA记录,并且该响应最少比预期的有效负载小一个数量级(或两个).显然你仍然是“问题的一部分”,因为欺骗的受害者仍然会从你的服务器获得那些SERVFAIL响应,但至少你没有锤击它们,也许你的DNS服务器从收获的列表中被“摘除”(s机器人随着时间的推移不使用“合作”.
>“功能域”：您可能只能将有效域名列入白名单.我在我的强化数据中心设置上执行此操作,其中服务器仅需要Windows Update,Symantec等才能运行.但是,您只是减轻了此时造成的伤害：受害者仍会受到来自服务器的NXDOMAIN或SERVFAIL响应的轰炸,因为您的服务器仍然会响应伪造的源IP.同样,Bot脚本也可能会根据结果自动更新它的打开服务器列表,因此这可能会删除您的服务器.

正如其他人所建议的那样,我也会使用某种形式的速率限制,无论是在应用程序级别(即消息大小,每个客户端的请求限制)还是防火墙级别(请参阅其他答案),但是,您将再次使用必须做一些分析,以确保您不会杀死合法的流量.

经过调整和/或训练的入侵检测系统(此处需要基线)应该能够检测源或容量随时间变化的异常流量,但可能需要定期进行保姆/调整/监控以防止误报和/或看看它是否真的阻止了攻击.

在一天结束时,你不得不怀疑所有这些努力是否值得,或者你是否应该坚持做正确的事情并且首先解决问题.