Ich habe nicht den besten Hintergrund in Sachen Computersicherheit, aber gestern wurde einer meiner Unternehmensserver von unserem Host heruntergefahren.
Dies ist ein Server, dem eine öffentliche IP zugewiesen wurde, auf dem ich mehrere Webdienstanwendungen hosten kann, einschließlich Websites und APIs. Mir wurde gesagt, dass mein Server "einen offenen DNS-Resolver ausführt, der verwendet wird, um den Denial-of-Service-Angriff an eine externe Entität weiterzuleiten."
Was bedeutet das? Wie funktioniert dieser Angriff? Und wie kann ich mein System vor derartigem Missbrauch schützen?
In meinem speziellen Fall handelt es sich um einen Server unter Windows Server 2012, der DNS für eine Active Directory-Domäne bereitstellt.
Antworten:
Ein "offener DNS-Resolver" ist ein DNS-Server, der bereit ist, rekursive DNS-Lookups für alle im Internet aufzulösen. Dies ähnelt in etwa einem offenen SMTP-Relay, da böswillige Dritte aufgrund der fehlenden Authentifizierung ihre Nutzdaten mithilfe Ihrer ungesicherten Geräte weitergeben können. Bei offenen SMTP-Relays besteht das Problem darin, dass sie Spam weiterleiten. Bei offenen DNS-Resolvern besteht das Problem darin, dass sie einen Denial-of-Service-Angriff zulassen, der als DNS Amplification Attack bezeichnet wird.
Die Funktionsweise dieses Angriffs ist recht einfach: Da Ihr Server rekursive DNS-Abfragen von jedermann auflöst, kann ein Angreifer dazu führen, dass er an einem DDoS teilnimmt, indem er Ihrem Server eine rekursive DNS-Abfrage sendet, die eine große Datenmenge zurückgibt, die viel größer ist als das ursprüngliche DNS-Anforderungspaket. Indem sie ihre IP-Adresse fälschen, leiten sie diesen zusätzlichen Datenverkehr an die Computer ihres Opfers anstatt an ihre eigenen, und natürlich stellen sie so viele Anfragen wie möglich an Ihren Server und an jedes andere offene DNS Resolver, die sie finden können. Auf diese Weise kann jemand mit einer relativ kleinen Pipe einen Denial-of-Service-Angriff "verstärken", indem er die gesamte Bandbreite seiner Pipe nutzt, um ein viel größeres Verkehrsvolumen auf seine Opfer zu lenken.
ArsTechnica hat einen anständigen Artikel über den jüngsten DNS Amplification DDoS-Angriff gegen Spamhaus verfasst und ist eine kurze Lektüre wert, um die Grundlagen (und ein gutes Bild der Verstärkung) zu erhalten.
Der einfachste Weg, Ihr System vor Missbrauch zu schützen, besteht darin, die Adressen, nach denen Ihr Server rekursiv sucht, auf Ihre lokalen Subnetze zu beschränken. (Die Einzelheiten hängen natürlich davon ab, welchen DNS-Server Sie verwenden.)
Wenn ich beispielsweise BIND 9 verwenden und einfach die DNS-Rekursion von externen Adressen verhindern wollte, würde ich in meiner Konfiguration den folgenden Code verwenden:
Diese Codezeile weist meinen BIND-Server an, nur rekursive DNS-Anforderungen für die lokale Loopback-Adresse (die ich auf den lokalen Loopback-Block setzen könnte / sollte, die ganze / 8) und die 3 privaten IPv4-Adressräume zu verarbeiten.
Für Windows Server 2012, das Sie verwenden, haben Sie die folgenden Optionen.
1. Trennen Sie Ihren DNS-Server von Ihrem IIS-Server.
2. Blockieren Sie externe DNS-Anforderungen mit einer Firewall, z. B. der integrierten Windows-Firewall.
Remote IP address
Abschnitt und fügen Sie die in Ihrem LAN verwendeten Subnetze sowie alle öffentlich zugänglichen IP-Adressen von Servern hinzu, die Zugriff auf Active Directory benötigen. Wie im BIND-Beispiel sind private IPv4-Adressräume127.0.0.0/8
10.0.0.0/8
192.168.0.0/16
und172.16.0.0/12
.3. Deaktivieren Sie die Rekursion .
quelle