Мне было интересно, ограничиваю ли я доступ ACL к своим серверам имен, которые разрешают рекурсию, худшее, что может случиться, - это кто-то запускает усиление DNS на любом из разрешенных хостов в ACL?
Например:
ACL allow access to 11.111.111.11 and 22.222.22.222
22.222.22.222 может теоретически запустить атаку с усилением DNS на 11.111.111.11?
Если вы настроили ACL для разрешения доступа к 11.111.111.11 и 22.222.22.222, это означает, что любой, кто может подделать эти источники (как их видит ваш сервер), может использовать ваш сервер для атаки 11.111.111.11 или 22.222.22.222. Этот человек, вероятно, мог бы использовать любой открытый DNS-преобразователь в мире, чтобы сделать то же самое.
Подмена пакета с точки зрения вашего сервера означает, что ваш сервер видит пакет с адресом источника 11.111.111.11 или 22.222.22.222, даже если этот сервер никогда не отправлял этот пакет. Многим интернет-провайдерам удается выполнять анти-спуфинг на границе своей сети, отбрасывая пакеты извне, указывающие, что они находятся изнутри, а также анти-спуфинг для своих клиентов, так что их клиент вообще не может подделывать IP-адреса. Если ваш интернет-провайдер делает это, то внешние IP-адреса могут только подделывать (и использовать усиление DNS для атаки) внешние IP-адреса. Если преобразователь DNS отвечает только на запросы с внутренних IP-адресов, то проблем нет.
Поэтому рекомендуется предлагать услуги разрешения DNS только контролируемым вами IP-адресам и применять анти-спуфинг на сетевом уровне.
Для получения дополнительной информации см .:
https://blog.cloudflare.com/deep-inside-a-dns-amplification-ddos-attack/
но не стесняйтесь прояснить свой вопрос (в чем ваша проблема, вы интернет-провайдер, компания или домашний пользователь ...)
ИЗМЕНИТЬ, потому что мой последующий комментарий был слишком длинным:
Я действительно думаю, что запрет на ЛЮБОЙ запрос, вероятно, снизит вероятность злоупотреблений, потому что вы, вероятно, не являетесь объектом чего-то конкретного. Итак, если злоумышленник использует ЛЮБЫЕ запросы, их остановка остановит атаку через вас, и злоумышленник не обратит внимания или даже не заметит. НО что ты должен do ограничивает право делать запросы с использованием ACL, включая только IP-адреса ваших друзей, как описано выше. Тогда вы не будете открытым решателем. Либо троян подделывает IP-адрес, который не принадлежит вашему другу, и вы не ответите на него, либо по какой-то странной случайности один из ваших друзей подвергнется атаке из-за вашего троянского друга, но до тех пор, пока у вас нет миллионов друзей, с которыми все в порядке.
Я предвижу ваш вопрос: у ваших друзей динамические IP-адреса. Ответить на это непросто; если есть веская причина, по которой ваши друзья не могут использовать DNS-сервер, предоставляемый их DHCP, или что-то вроде OpenDNS или Google 8.8.8.8 или полноценный VPN, я думаю, что что-то вроде dnscrypt может быть решением.
Конечно, если ваши друзья станут троянцами, беспокойство об их безопасности DNS, вероятно, должно занять второе место после безопасности хоста.
Удаление IP-адреса злоумышленника из ACL не остановит атаку усиления. Поскольку атака с усилением включает в себя подмену IP-адреса, сервер никогда не увидит настоящий IP-адрес злоумышленника. Вместо этого сервер будет видеть только IP-адрес жертвы.
Однако удаление IP-адреса жертвы из ACL остановит атаку усиления при условии, что механизм ACL реализован разумно.
Это означает, что таким образом вы не можете защитить своих законных пользователей. Но если у вас есть только хорошо известный набор законных пользователей, вы можете гарантировать, что ваш DNS-сервер не будет использоваться для выполнения атак с усилением против третьих лиц. Это, вероятно, также снизит нагрузку на ваш DNS-сервер, поскольку любой, кто хочет выполнить атаку с усилением, будет тратить свою полосу пропускания, отправляя пакеты на ваш сервер.
Если у вас есть полный контроль над сетевым путем между каждым легитимным клиентом и вашим DNS-сервером, то вы можете фильтровать поддельные пакеты до того, как они достигнут сервера.