, der er en ny art af distribuerede denial of service (ddos) angreb rettet mod navneservere, der kunne kaldes "sludder" angreb.det kan forvolde skade på klar og autoritativ navneservere ens, og nogle af vores kunder på infoblox er blevet ofre for det - - men det er ikke altid klart, om de faktisk var de mål,.,, "sludder" ddos angreb fungerer på den måde, - -   en angriber vælger en zone til angreb,, foo - f.eks.,.,, -   et botnet kontrolleres af gerningsmanden skaber tilfældige domænenavne i zonen med nonsens først mærker, som f.eks., asdfghjk.foo.example, og zxcvbnm. foo, f.eks.,.,, -   den bot sender mange forespørgsler til de domænenavne til rekursive navneservere.,, -   de rekursive navneservere til gengæld sende forespørgsler, foo eksempel er autoritative navneservere for de domænenavne,.,, -   autoritative navneservere sende svar sige,ing, at domænenavne i spørgsmål findes ikke (i dns, hvad der kaldes et nxdomain respons).,, -   den rekursive navneservere relæ, som svar på det oprindelige querier og lager, den manglende tilstedeværelse af domænenavnet.  , - - du ved, sådan....,, hvis han kan generere spørgsmål hurtigt nok, den samlede forespørgsel sats vil overvælde den, foo.example navn servere.det er da bliver det rigtigt sjovt:,, -   den bot fortsat sende forespørgsler til de genererede domænenavne til rekursive navneservere.,, -   nu, at den autoritative navneservere er holdt op med at reagere, rekursive navneservere tage meget længere tid at behandle hver enkelt spørgsmål.i tilfælde af binder navn server, navn - serveren kan vente 30 sekunder og sende snesevis af (ubesvarede) spørgsmål før opgive.,, -   denne bruger rekursive forespørgsel slots på rekursive navn - server, der med tiden løber ud, og at yderligere rekursive forespørgsler... nogle af dem berettigede.,, når dette sker en binder navn server sender et budskab om følgende, syslog,:,, jan 21 14:44:00 ns1 ved navn [4242]: kunde 192.168.0.1і: ikke flere rekursive klienter: kvote, man er nået frem til, på det tidspunkt, navn - serveren vil afvise yderligere rekursive forespørgsler, at benægte, at klienterne.,,, der er målet?,,, i de fleste tilfælde organisationen at autoritative navneservere (i dette eksempel for, foo eksempel) synes at være målet.f.eks. nogle af de domænenavne i angreb, vi har set anvendes af kinesiske spilsider på nettet.(måske nogen prøver at få hævn over huset for nogle svære tab.den rekursive navneservere med ender som følgeskader i angrebet.kunne de faktisk har været det mål?,, har vi set nogle beviser.nogle af de zoner, der er involveret i angreb mod vores kunder er forsvundet på mystisk vis en eller to dage efter angrebet, hvilket tyder på, at de sandsynligvis ikke var i aktiv brug (og faktisk sandsynligvis var registreret i et "område tasting" - ordningen).angriberne kunne bevidst har registreret disse zoner med langsom eller passiv navneservere, således at resolution af domænenavne i zonen ville tage så lang tid som muligt, naturligvis, uanset målet, at mekanismen bag angrebet forbliver nøjagtig den samme.,,, afbødning, generelt, at du ville lægge mærke til det hedder angreb, når din rekursive navn server løber ud af rekursive forespørgsel slots, som det fremgår af den, syslog, besked tidligere.disse meddelelser giver ip - adresserne på de queriers nægtet adgang på grund af ankomst - og afgangstidspunkter.,,, spørge sig selv, om ip - adresser i meddelelserne er adresser dit navn - bør være tjener.hvis ikke, kan du være i stand til at få dit navn server med en adgangskontrol liste for at begrænse forespørgsler til queriers.hvis den ondsindede spørgsmål kommer fra legitime ip - adresser, du bliver nødt til at anvende en anden mekanisme,.,, en mulighed er at anvende bindende virkning er meget praktisk svar politik områder, træk til midlertidigt forhindre dit navn server sender forespørgsler til den problematiske område.en rpz regel for at forhindre, at deres navn server fra ser det ud, foo.example domænenavne kunne være så enkel som:,, *. foo. f.eks. din. rpz. zone.          i         cname            .,, du skal også fastsætte en mulighed, qname vente recurse, ingen (for mere information om disse muligheder, klik her).dette vil give dit navn - - til at besvare henvendelser til domænenavne, foo.example, med nxdomain uden stiller spørgsmålstegn ved, foo.example, navneservere.,, hvis deres rekursive navneservere løb ikke binde 9.10 endnu (den første version af bind, der støtter denne option) eller løber ikke binde sig til alle, at du stadig kan midlertidigt nedsætte en tomme, foo.example, zone for at forhindre, at dit navn - - fra at forsøge at se data i uartige.zonen data vil blive minimal:,,   @         i         soa      ns1       rod      2015010700 1h 15 30d 10 millioner,             i         ns        ns1,,   konfigurere din rekursive navn server som autoritativ for zone - en øvelse, overlades til læseren... og det vil blot besvare de fleste forespørgsler, foo.example domænenavne med nxdomain (undtagen forespørgsler, foo eksempel er soa eller ns rekord, naturligvis). husk, at den rpz regler eller zone konfiguration er midlertidig.efter angrebet ender, du bliver nødt til at fjerne dem for at være i stand til at løse domænenavne i zonen igen.,, de gode folk på internet - systemer - konsortiet, og som udvikler binder navn server, arbejder også med nye mekanismer til at behandle spørgsmålet mere diskret, ved at indføre to nye konfiguration muligheder:, henter pr. - og henter pr. zone,.,,, henter pr. computer, sætter en grænse for antallet af konkurrerende forespørgsler klar navn serveren har ikke en enkelt pålidelig navn server.de pålagte loft er dynamisk, og justeret i nedadgående retning på grundlag af timeouts oplevede, da være den officielle navn server., henter pr. zone, sætter en grænse for antallet af konkurrerende forespørgsler klar navn serveren har udestående for et enkelt område.,, mellem disse to elementer, administratorer, bør være i stand til at reducere chancen for, at deres binder navneservere bliver ofre - utilsigtet eller ikke - vrøvl navn ddos angreb som disse.