Сегодня утром я узнал, что наш домен и поддомены были отравлены на DNS-серверах 4.2.2 и 4.2.2.1 вместе с другими, как мне кажется, хотя я еще не подтвердил другие. Использование разрешения OpenDNS работает правильно. Я обновил наши локальные DNS-серверы и очистил их кеш, что исправило внутренние проблемы.
Проблема в том, что домен является общедоступным, и у клиентов возникают проблемы. Мы являемся авторитетным DNS-сервером для домена и всего, что находится под нашим контролем. Что я не знаю, так это исправить серверы имен вне нашего контроля.
Что мы можем сделать со своей стороны? На данный момент я могу придумать единственный обходной путь - попросить клиентов сменить DNS на OpenDNS, что не очень практично. Другой обходной путь - изменить наш TLD, что менее практично.
Похоже, вам нужно реализовать DNSSEC.
Поскольку вы не предоставили много подробностей о своей настройке, сложно рекомендовать программное решение, но поиск в Google DNSSEC с вашей текущей настройкой должен дать вам несколько хороших руководств о том, как это сделать.
Вы абсолютно уверены, что это атака с отравлением кеша?
Каждый широко используемый рекурсивный DNS-сервер в Интернете уже давно реализовал исправление для CVE-2008-1447, делая описываемое вами широкомасштабное отравление практически невозможным.
Это не совсем невозможно, так как рандомизация исходного порта просто заставляет атаку потребовать в 2 ^ 16 раз больше попыток для успешного отравления. Осуществить атаку на несколько авторитетных серверов имен с большим объемом транзакций одновременно? Это настоящий подвиг. Поправьте меня, если я ошибаюсь, но ваш домен, вероятно, недостаточно важен в Интернете, чтобы стать лучшей целью для этой атаки; злоумышленники с такой способностью просто поразили бы google.com вместо.
Гораздо более разумным или вероятным объяснением является изменение делегирования для домена, которое серверы OpenDNS еще не уловили из-за кэширования. Срок действия домена истек, или кто-то, имеющий доступ к регистратору, произвел опрометчивое изменение настроек делегирования сервера имен?
Измените свой TLD? Это экстремально. Какой у тебя TTL? Вы как бы во власти других DNS-серверов, у которых истекает срок действия ваших записей, прежде чем кто-либо из них потрудится найти новые, не кэшированные записи. Если вы установите записи A на неделю, никто не увидит изменения за неделю, если они кэшированы. Я всегда устанавливаю свои записи A на минимальное значение для подобных ситуаций или использую CloudFlare, который позволяет мне менять их на лету.
4.2.2.2 и 4.2.2.1 - это DNS-серверы уровня 3 для своей сети, они не должны использоваться Интернетом в целом. Таким образом, они не являются репрезентативными для инфраструктуры DNS в Интернете в целом. Я использую DNSStuff.com для выполнения всех моих тестов / поисков, так как это не кешированные результаты.
Кроме того, вместо OpenDNS проще набрать Google (8.8.8.8, 8.8.4.4), независимо от ваших личных убеждений между ними.
Рекомендация DNSSEC поспешна. Вы рискуете решить не ту проблему и столкнетесь с серьезным бременем обслуживания.
Сначала проверьте эти вопросы:
Отравление кеша DNS в настоящее время встречается реже. Если вас беспокоит ничтожно малая вероятность этого, вам лучше внедрить DNSCurve. Вот его сравнение с DNSSEC:
Вы не можете ничего сделать с серверами, которые не находятся под вашим контролем.
Попытайтесь понять, как это произошло - отравиться сейчас непросто, дыра должна быть. Проверить родительские NS-делегирования. Проверьте все свои авторизации. серверы. Свяжитесь с Level3, сообщите им, что их серверы отравлены - попросите их очистить кеш для вашего домена, но они, надеюсь, выяснят причину. Возможно, их серверы скомпрометированы, и это не только ваш домен.
также см. TTL. Если это преднамеренное отравление, TTL должен быть очень большим (если Level3 не установил некоторый максимальный TTL). Вы увидите, когда он истечет, а затем проверьте, не повторится ли это снова.
И выставить на улицу, чтобы люди наконец начали внедрять DNSSEC..