Назад | Перейти на главную страницу

Полностью запретить DNS-ответы для определенного домена

Ситуация: Сервер (Win 2008R2) используется в DDoS-атаке DNS (усиление). Коэффициент усиления уже снижен до 1: установите DNS-сервер в нерекурсивный режим и удалите все корневые подсказки -> DNS отвечает отказ сервера для неавторизованных доменов -> размер входящего запроса DNS EQ размер исходящего запроса DNS.

Тем не менее, даже без усиления мы по-прежнему неохотно участвуем, хотя бы в качестве простого дефлектора (поскольку, скорее всего, адрес назначения был подделан для направления трафика ответа DNS на цель DDoS).

Вопрос: Есть ли и если да, то каков самый простой способ предотвратить ответы DNS на запросы DNS определенного домена? Причина этого вопроса в том, что все эти вредоносные DNS-запросы относятся к одному домену, но с разных IP-адресов. Так что блокировка IP не так эффективна.

Итак, как отфильтровать эти DNS-запросы для определенных доменов и где (может ли DNS-сервер обрабатывать это или это должно быть сделано на брандмауэре?)?

Есть ли какая-то конкретная причина, по которой ваш сервер вообще должен отвечать на внешние запросы?

В идеале вы должны настроить внешний преобразователь для своего общедоступного преобразователя (используется для разрешения всех ресурсов, к которым должен быть доступ извне: MX, веб-сервер и т. Д.), Использовать DNS-сервер Windows только для своей внутренней сети и блокировать все входящие DNS-запросы на своем периметр.

Однако есть одна вещь, которую вы просто не можете предотвратить: как только у вас есть DNS-сервер, который отвечает на внешние запросы, даже если он предназначен только для вашего собственного домена, его можно использовать в атаке с отказом DNS. Вы можете настроить его для предотвращения усиления DNS, но не для предотвращения простых отказов. Это не должно иметь большого значения, если только вы сами не получаете DDoS-атаки.

Редактировать:

Типичный способ настройки DNS в небольшой (ish) структуре следующий:

  • Вы используете внутренний DNS-сервер внутри вашей сети. Этот сервер доступен только из внутренней сети и VPN-хостов и сетей.
  • Для внешнего разрешения вы настраиваете внутренний сервер для пересылки запросов либо на ваше устройство шлюза (обычно многоцелевой модем-маршрутизатор DLS), либо напрямую на DNS-сервер вашего интернет-провайдера. Вы ДОЛЖНЫ разрешить прохождение этого трафика, но вы можете довольно жестко его ограничить.
  • Если у вас есть общедоступный домен, вы используете внешний DNS-сервер для его размещения (обычно как минимум два сервера). Эти серверы должны быть настроены для ответа на запросы для зон, для которых они являются полномочными, и ТОЛЬКО на эти запросы. (Есть много предложений по DNS-хостингу, и почти весь хостинг доменов поставляется с таким предложением).

Атака с усилением работает очень хорошо даже при выключенной рекурсии и при запросе доменов, что сервер не авторитетный для.

Входящий пакет UDP (с поддельным IP-адресом) составляет 72 байта, если я помню, и если зона с точкой (.) Не настроена с нулевыми записями, ответ может достигать 720 байтов ... с коэффициентом 10.

  1. Убедитесь, что рекурсия отключена, если это полномочный сервер.
  2. Установите зону с точкой (.) Без записей, SOA в порядке и не изменит размер ответа.

После этого ответ будет составлять около 90+ байтов, поэтому большая часть эффекта усиления исчезнет.

Что касается фильтрации запросов для определенных доменов, я думаю, что единственная ОС Microsoft, которая будет это делать, - это Server 2016 с новой политикой запросов DNS. Единственное серьезное обновление DNS, которое я вижу, - это ограничение скорости отклика, которое связывало в течение многих лет.

Как уже говорили другие, если это рекурсивно для внутренней сети или определенных клиентов, заблокируйте весь доступ к порту 53, кроме тех IP-адресов, которые вы хотите разрешить.

В качестве побочного примечания я возьму небольшую ставку, что многие из тех, кто получает поддельные запросы, это будет запрос для freeinfosys.com