Maßnahmen gegen einen DNS-Verstärkungsangriff

7

Ich habe kürzlich festgestellt, dass mein Server als Teil eines DNS-DDOS verwendet wird. Grundsätzlich erlaubte mein BIND-Setup eine Rekursion und wurde verwendet, um eine bestimmte IP-Adresse mithilfe von IP-Spoofing anzugreifen.

Ich habe die notwendigen Maßnahmen ergriffen, um dies zu stoppen, und die Rekursion deaktiviert. Ich bin kein Verstärker mehr, was das große Problem wohl löst, aber ich erhalte immer noch die Anfragen in großen Mengen, und BIND antwortet allen mit "verweigert".

Ich bin nur neugierig zu wissen, ob ich noch etwas tun kann. Ich dachte, ich könnte fail2ban so konfigurieren, dass sie blockiert werden, ähnlich wie bei den Debian-Empfehlungen , aber laut anderen Websites und vernünftiger Logik ist dies nicht ideal, da ein Angreifer mich leicht dazu bringen könnte, IP-Adressen vom Zugriff auf meinen Server abzuhalten.

Was kann man also noch tun? Oder sollte ich einfach warten, bis die Angreifer aufgeben? Oder hoffen sie, sie könnten mich als Verstärker erneut scannen und dekotieren?

Waleed Hamra
quelle
2
Wenn Ihr Angriffsverkehr auf eine Reihe bekannter IPs abzielt, ist es in Ordnung, diese auf die schwarze Liste zu setzen - entweder in iptables oder innerhalb der Bindung, brauchen Sie nicht einmal fail2ban. Siehe auch diese Frage - serverfault.com/questions/438515/…. Außerdem gibt es einen experimentellen Patch zur Geschwindigkeitsbegrenzung für bind - redbarn.org/dns/ratelimits .
Sandman4

Antworten:

4

Grundsätzlich ändert das im verlinkten Artikel beschriebene Fail2Ban-Setup die Firewall so, dass eingehende DNS-Abfragen von Quell-IPs, die Ihren DNS-Server nicht abfragen dürfen, für eine begrenzte Zeit auf DROP (für eine begrenzte Zeit) eingestellt werden. Keine schlechte Idee, aber wenn Sie kein autorisierendes DNS für eine oder mehrere Domains im Internet bereitstellen, vergessen Sie nicht fail2ban und lassen Sie einfach alle eingehenden DNS-Abfragen aus dem Internet ganz fallen.

Wenn Sie sind eine autoritative DNS - Server ausgeführt wird , dann leider haben Sie nicht den Luxus DNS - Anfragen zu ignorieren. In diesem Fall haben Sie meiner Meinung nach keine andere Wahl, als die Dinge so zu belassen, wie Sie sie haben (Rekursion ausgeschaltet), und geduldig auf einen allmählichen Rückgang des eingehenden gefälschten Datenverkehrs zu warten. Es wäre sicher schön, in der Lage zu sein, bind selbst so zu konfigurieren, dass Anfragen, die so konfiguriert sind, dass sie nicht beantwortet werden, stillschweigend ignoriert werden, aber ich denke nicht, dass es diese Funktion hat. (Ein solches Verhalten würde schließlich technisch gegen das DNS-Protokoll verstoßen.) Fail2ban bietet zwar eine Alternative, ist aber, wie Sie bemerkt haben, nicht ideal.

Steven Montag
quelle
Vielen Dank. Ja, ich betreibe einen autorisierenden DNS-Server, und wie Sie es zusammengefasst haben, muss ich wohl nur warten.
Waleed Hamra